这是一个创建于 4104 天前的主题,其中的信息可能已经有所发展或是发生改变。
在之前做微信公共账号的开发时,关于二维码的接口,需要开发者授权获得access_token然后才能请求参数生成二维码;
而微信电脑上阅读文章右侧的二维码,URL中参数就是上述参数,而且会请求到开发者服务器,然后没有任何验证(现在已修复)。
再来说说遇到的奇葩的事情:
1. 在我提交漏洞到TSRC后,他们在30分钟内就把漏洞修复了,然后确认漏洞足足花了24小时;
2. 今天上午,一个叫rices@tsrc的人联系到我QQ,说让我谈谈对这个漏洞的理解,然后我提出打电话我给他解释,然后他拒绝了我的电话谈的请求说那个二维码只是一个名片吧?我回复:“你们昨天连夜修复了所以就别装不懂了”
3. 这个漏洞居然评级仅仅是中;
我来给大家解释下这个漏洞的危害性:
比如一家金融平台,有绑定微信的功能,那么一定是通过生成带参数二维码来绑定,只要知道用户UID就可以攻击到这个用户,针对微信公共号开发的功能(假如有消费/提现。。。后果很严重)全部操作都能访问到!
再如果是一家银行。。。。后果不敢想象
所以,这个肯定是高危漏洞!
大家以后有腾讯公司的任何漏洞,要么发乌云,要么发微博直接公开吧!千万别提交到TSRC,这帮人全是逗B。
而微信电脑上阅读文章右侧的二维码,URL中参数就是上述参数,而且会请求到开发者服务器,然后没有任何验证(现在已修复)。
再来说说遇到的奇葩的事情:
1. 在我提交漏洞到TSRC后,他们在30分钟内就把漏洞修复了,然后确认漏洞足足花了24小时;
2. 今天上午,一个叫rices@tsrc的人联系到我QQ,说让我谈谈对这个漏洞的理解,然后我提出打电话我给他解释,然后他拒绝了我的电话谈的请求说那个二维码只是一个名片吧?我回复:“你们昨天连夜修复了所以就别装不懂了”
3. 这个漏洞居然评级仅仅是中;
我来给大家解释下这个漏洞的危害性:
比如一家金融平台,有绑定微信的功能,那么一定是通过生成带参数二维码来绑定,只要知道用户UID就可以攻击到这个用户,针对微信公共号开发的功能(假如有消费/提现。。。后果很严重)全部操作都能访问到!
再如果是一家银行。。。。后果不敢想象
所以,这个肯定是高危漏洞!
大家以后有腾讯公司的任何漏洞,要么发乌云,要么发微博直接公开吧!千万别提交到TSRC,这帮人全是逗B。
第 1 条附言 2014-08-16 17:37:05 +08:00
感谢大家对本主题目的关心, 我就抛砖引玉, 以我是如何黑掉DNSPod为例来解释这个漏洞的危害性
针对腾讯微信未经开发者授权以开发者名义滥用二维码生成, 本人成功黑掉DNSPod uid#6 ( qr_scene_id=6)这个用户:
针对腾讯微信未经开发者授权以开发者名义滥用二维码生成, 本人成功黑掉DNSPod uid#6 ( qr_scene_id=6)这个用户:
 | 1 ytf4425 2014-08-15 18:37:44 +08:00 乌云+1 微博公开有点危险,搞不好人家告你呢 |
 | 2 cobola 2014-08-15 18:58:35 +08:00 via iPhone 支持乌云 |
 | 3 jasontse 2014-08-15 19:28:25 +08:00 via Android 人家要你谈谈这个漏洞说不定是想挖你去,情商堪忧。 |
 | 4 YouXia 2014-08-15 19:31:12 +08:00 其实,还有更高危的漏洞呢,之前朋友给我看过,不知道修复没有。 |
 | 6 YY 2014-08-15 19:35:16 +08:00 他是要确认漏洞修复完全了吧 |
 | 8 zjj 2014-08-15 20:34:07 +08:00 我觉得要是我,也懒得给你打电话,网络交流就好,电话什么的,除了现实认识的,其余用短信都行 |
 | 9 hzlzh PRO 电话是同步的,相比更喜欢异步的交流。而且QQ联系不也是挺方便的么,彼此都有思考的时间。 |
 | 10 ccbikai PRO 微信的UID在不同的公众号那里好像不一样 |
 | 11 xoxo 2014-08-15 21:18:28 +08:00 @ccbikai 根据我以前做过的微信平台 开发经验 来看,你说的uid是微信返回的openid; 楼主所说的是接入微信公共账号的第三方平台本身用户体系的uid, 通篇全文,漏洞 确实 应该评级 为高危;因为影响到的不 只是腾讯 微信,还有第三方接入微信的所有服务,均受到了漏洞潜在的安全威胁, 个人认为此漏洞的影响力不亚于拖掉腾讯的库。评级为中实属腾讯安全响应的误评。 |
 | 13 cxe2v 2014-08-15 21:59:59 +08:00 赶脚看不懂楼主的描述,文字功底不行啊楼主 |
 | 14 run2 2014-08-15 22:35:16 +08:00 微信电脑上阅读文章右侧的二维码...带了access_token,是一家的行为吧,本身微信回复的是不会带的,反正没能重现-。-, 按理说access_token只在服务器和微信服务器通讯时才使用,在client端显现本来就有些奇怪。 |
 | 15 Wowbeing 2014-08-15 22:43:11 +08:00 原来去TSRC提交漏洞,还有奖金的。。 |
| 16 xoxo 2014-08-15 22:45:37 +08:00  1 期待作者发表原始POC |
 | 17 dangge 2014-08-15 22:46:19 +08:00 1 |
| 18 dangge 2014-08-15 22:47:37 +08:00 |
 | 19 okface 2014-08-15 23:09:33 +08:00 呵呵 腾讯 |
 | 20 teavoid 2014-08-15 23:26:51 +08:00 1 lz觉得奇葩的三件事,我觉得1和2都很正常。 1涉及到相关人责任归属,需要时间确认可以理解。2是个正常反应,lz那句反讽有点过,好好沟通就完了。 3是在可以商榷的范围内。但是整件事情来说,够不上奇葩。 |
 | 21 pimin 2014-08-16 00:49:40 +08:00 via iPhone 感觉偶然所得漏洞,如使用软件时刚好遇到崩溃,点了调试找到原理,提交给厂商本身并无它求,修复了即可。 至于追求同之类,利用它造成破坏来得更直白一些。 沟通方面,工作习惯问题吧,qq、邮件之类,双方有思考余地,并且可以保存记录,电话感觉并不适合技术交流。 |
 | 22 maxsec OP 主题已更新。 |
| 23 run2 2014-08-16 19:58:01 +08:00 貌似dnspod那边也有漏洞,把scene的权限扩大了。 |
| 24 maxsec OP @sobigfish 漏洞就是出在微信这边,DNSPod没做错任何事情。 原因: 本次攻击关键的因素就在于绕过了access_token验证这一步, 微信公共平台已定义, access_token用于鉴别请求身份, 除腾讯以外其它公司无法攻击这个环节, 而微信那张神奇二维码打了自己的脸, 不遵守自己的约定, 以企业用户名义生成二维码, 也只有腾讯这家SB公司才能如此下做了. |
 | 25 members 2014-08-18 04:04:43 +08:00 对微信这边开发比较了解,按道理这里只是一个scene id,这个id在微信中的目的是用来做来源识别,用户扫描不同的二维码就可以区分不同的来路。 您补充的那张图中出现的域名如果是不是楼主的,那只能说明问题应该是在DNSPod,他们草率的将场景id直接用来做用户识别了。 个人感觉这个问题不太应该是微信的问题,微信只是“替你生成了一张带场景id的二维码”而已。 当然也可能没能理解清楚LZ的意思。请指教。 |
| 26 maxsec OP @hackwjfz 微信的来源接口设计上本来是安全的,如果wechat官方遵守自己的约定的话; 可是wechat自己没遵守了自己关于“access_token first”的约定,导致了接口的不安全。 |
 | 27 ncmonster 2014-08-25 15:26:17 +08:00 ##这个漏洞居然评级仅仅是中; TSRC对漏洞的定级有:低危、中危、高危和严重,简单举几个比较明显的例子: 可以直接获取到服务端系统权限的漏洞算严重; 可以直接获取用户权限的的漏洞算高危; 需要交互才能获取到用户权限的漏洞算中危。 如果楼主觉得你提交的这个漏洞算严重。那你说说什么样的漏洞算高危,中危,低危呢 |
Select Language