通过 QQ 客户端登录 Web 邮箱的身份认证漏洞

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

工单节点使用指南

• 请用平和的语言准确描述你所遇到的问题

• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类，尊重是相互的

• 如果是关于 V2EX 本身的问题反馈，请使用反馈节点

This topic created in 3242 days ago, the information mentioned may be changed or developed.

macOS 重现步骤：

打开 QQ，进入应用 tab，点击 QQ 邮箱，这时候会打开浏览器访问一个 HTTP 地址：

http://ptlogin2.qq.com/qqmail?Fun=clientlogin&clientuin=xxxx&clientkey=xxxx&ptlang=xx&keyindex=xx

在跳转到邮箱前，拷贝这个地址，退出 QQ 客户端，在 Chrome 隐身窗口打开上述地址，成功登录邮箱。

https://twitter.com/yurii_yu/status/873225250955120640

邮箱

地址

打开

28 replies • 2017-06-13 18:51:57 +08:00

Citrus

Jun 12, 2017 via iPhone

你这跟把 Cookie 复制出来说有登陆漏洞有啥本质区别？

paicha

PRO

Jun 12, 2017

@Citrus #1 那你会把 Cookie 编码在 URL 中吗？

Jun 12, 2017 via iPhone

几年前 Windows 上有过这个“漏洞”，后来腾讯修复了。
我觉得这个在一定程度上也可以算是漏洞，这个 url 应该是一次性的，第二次访问不能登录才对。

airycanon

Jun 12, 2017

@Citrus 不一样吧，他说的是退出 QQ 客户端之后，我的理解是用户已经注销了。

also24

Jun 12, 2017

一开始我觉得有 “ QQ 邮箱独立密码” 存在，不以为然。

直到自己测试了下，发现：
1、这个链接是 http 的
2、即使不输入独立密码，此时也已经在网页上登录了 QQ 帐号，可以访问其它业务（例如 qun.qq.com ）
3、不止邮箱，空间按钮也是这样的

这就相当的不安全了，去星巴克开个热点，分分钟一堆内部文件到手啊。

nikoo

Jun 12, 2017

好奇这个漏洞的解决方案是？（一次性 URL 授权访问也并不比这个好多少吧）

Jun 12, 2017 via iPhone

@also24 这个 idea 不错！正好星巴克 mac 多！

miyuki

Jun 12, 2017 via Android

说个有的没的

我记得如果 QQ 客户端获取的 IP 和浏览器的 IP 不一致会要求重新登录，比如浏览器挂了个代理，登录 QQ 邮箱就会要求重新输入帐户密码

mrjoel

Jun 12, 2017 via iPhone

原来是这样修复的，以前一个 sid 可几处同时登陆，现在只是加了两层 key

MrMario

Jun 12, 2017 via iPhone

腾讯的神 key，一个 key 可以登录大部分通用，这个问题存在很久了，搞劫持、小广告的很喜欢玩这个

前段时间试了下 key 有实效时间限制，没发现实效次数限制

anyclue

Jun 12, 2017

不明白这怎么就算个漏洞了，如果算的话这个漏洞怎么利用呢？

also24

Jun 12, 2017

@nikoo #6
如果保持当前把 key 写进 URL 的形式，那至少链接上 https 并启用 HSTS

另一方面目前 macQQ 明明通过内置 web server 直接支持了快捷登录： http://localhost.ptlogin2.qq.com:4300
那邮箱的验证按理来说也是可以走这个通道的。