分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已查看当前漏洞内容,细节仅向厂商公开
： 厂商已经主动忽略漏洞，细节向公众公开
简要描述：
QQ空间和相册设置的密码，问题，符合特定条件，通过微博中信息就可以轻松破解密码，进行未授权访问。既然设置了密码，隐私就不想曝光，危害还是比较大的。
详细说明：
找到一个用户，很想看她的空间，照片等。
空间设置了密码，提示问题（大量用户设置了自己叫什么这样的问题：特定用户）无法访问。
打开我们自己的QQ空间，点开左边的“腾讯微博”，在右上红色搜索框内输入你查找微博的QQ号码。
按下搜索，图中出现此QQ号码用户的微博账号（多数微博账号都是用的真实姓名）
用搜索得到的真实姓名，解答空间密码的提示问题，很轻松的进入空间。
漏洞证明：
空间有大量此类用真实姓名为密码的用户，所以危害感觉还是很大的。
同样用户相册也有大量类似密码，就不再赘述了。
修复方案：
你叫什么？
打死我也不说！
空间，相册提示问题，不再出现回答自己的真实姓名的问题！
我这脑子也就只能想这步了。
版权声明：转载请注明来源 @
厂商回应：
危害等级：无影响厂商忽略
忽略时间： 11:09
厂商回复：
非常感谢您的报告。这个问题我们经过评估，暂未发现可以对用户或者业务产生影响，故不作处理。如果您对于该结论有任何的疑问，欢迎反馈指正，我们会有专人跟进处理。
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
有点儿意思
@xsser 根本不是TX问题·
这个怎么也能审核通过······
@数据流 我看到的是早期qzone和qq为主的业务不鼓励实名，所以用户名字，生日住址算是隐私，后来腾讯微博等社交兴起，这些都是被鼓励公开的，导致一些安全策略的失效，我觉得是问题
有危害就有问题
如果设置的是别的问题，就进不去了，而且微博也不都是真实姓名。。
@围剿 嗯 考虑腾讯用户量
@xsser 我觉得这充其量也就算社工的一种，tx也不可能禁止查询微博用户的。
为什么不能呢？问题存在那里。
这个就针对用真实姓名的，所谓“特定”了。
@D＆G 里面有艳照的。
@xsser 把真实姓名问题从提示问题里去掉就可以了，摆明就是问题嘛。
现在QQ圈子基本上都暴露隐私，如果希望不泄露隐私的话，腾讯所有产品都要改进，这种问题厂商直接忽略，如果说就姓名而已算不了什么，社工几分钟就出来了，百度什么都能搜到你提交个百度泄露隐私的漏洞吧，你觉得百度会确认吗？
这貌似跟TX没关系 你也能在wooyun资料上写上你名字 哦耶
楼主打那么多码，最后还是露点了。
@15.90u119 见笑见笑
企鹅躺枪了....
这也叫漏洞？
妹子就是要让知道和能知道自己姓名的汉子进空间，肿么了？
登录后才能发表评论，请先磨小驴友情提醒：
topic_not_found
& 2000 - 2016 www.doyouhike.net
Version 4.7.8 -
16:15:59 +0800
粤ICP备号-2 &}