漏洞概要
漏洞标题:腾讯邮箱文件夹区域加锁密码认证漏洞
漏洞作者: 蓝盟尕猪 蓝客联盟
公开时间: 2013-02-21
危害等级: 高
漏洞状态: 未联系到厂商或者厂商积极忽略
漏洞来源:
漏洞描述
腾讯邮箱是用户量非常庞大的邮箱之一华为手机文件夹加密码 。今日本人无意中发现了腾讯邮箱文件夹区域加锁密码权限验证因设计疏忽导致用户的隐密邮件泄漏:
假设两人先后在异地同时登录邮箱华为手机文件夹加密码 ,其中一人拥有“文件夹区域加锁密码”并进入邮件列表,而此时另一人即可无须密码便顺利进入加锁后的邮件列表并查看邮件内容!
漏洞后果:
经过反复测试发现问题根本是腾讯邮箱认证方式出现严重的BUG造成的华为手机文件夹加密码 ,这个问题看似不是大问题!可是在“特殊人物” “特殊行业”来说就是一个致命的大问题!
现在电子邮箱所涉及到的包括银行,公司,机密文件,以及个人隐私文件,都存在于邮箱当中华为手机文件夹加密码 。
如果被“特殊目的”的人利用这个BUG 的话会造成难以想象的个人隐私泄漏华为手机文件夹加密码 。
附加本人今天就已经个人隐私泄漏了华为手机文件夹加密码 。
修补方案:
使用客户端与服务器端双重认证华为手机文件夹加密码 。