从发现微信官方高危漏洞说起

在之前做微信公共账号的开发时，关于二维码的接口，需要开发者授权获得access_token然后才能请求参数生成二维码；

而微信电脑上阅读文章右侧的二维码，URL中的参数就是上述参数，而且会请求到开发者服务器，然后没有任何验证（现在已修复）。

再来说说遇到的奇葩的事情：

1. 在我提交漏洞到TSRC后，他们在30分钟内就把漏洞修复了，然后确认漏洞足足花了24小时；
2. 今天上午，一个叫rices@tsrc的人联系到我QQ，说让我谈谈对这个漏洞的理解，然后我提出打电话我给他解释，然后他拒绝了我的电话谈的请求说那个二维码只是一个名片吧？我回复：“你们昨天连夜修复了所以就别装不懂了”
3. 这个漏洞居然评级仅仅是中；

我来给大家解释下这个漏洞的危害性：
比如一家金融平台，有绑定微信的功能，那么一定是通过生成带参数二维码来绑定，只要知道用户UID就可以攻击到这个用户，针对微信公共号开发的功能（假如有消费／提现。。。后果很严重）全部操作都能访问到！
再如果是一家银行。。。。后果不敢想象

所以，这个肯定是高危漏洞！

大家以后有腾讯公司的任何漏洞，要么发乌云，要么发微博直接公开吧！千万别提交到TSRC，这帮人全是逗B。

pimin

2014-08-16 00:49:40 +08:00

感觉偶然所得漏洞，如使用软件时刚好遇到崩溃，点了调试找到原理，提交给厂商本身并无它求，修复了即可。
至于追求认同之类，利用它造成破坏来得更直白一些。
沟通方面，工作习惯问题吧，qq、邮件之类，双方有思考余地，并且可以保存记录，电话感觉并不适合技术交流。

maxsec

2014-08-16 20:14:52 +08:00

@sobigfish 漏洞就是出在微信这边，DNSPod没做错任何事情。

原因：
本次攻击关键的因素就在于绕过了access_token验证这一步,

微信公共平台已定义, access_token用于鉴别请求身份, 除腾讯以外其它公司无法攻击这个环节,
而微信那张神奇二维码打了自己的脸, 不遵守自己的约定, 以企业用户名义生成二维码,
也只有腾讯这家SB公司才能如此下做了.

hackwjfz

2014-08-18 04:04:43 +08:00

对微信这边开发比较了解，按道理这里只是一个scene id，这个id在微信中的目的是用来做来源识别，用户扫描不同的二维码就可以区分不同的来路。

您补充的那张图中出现的域名如果是不是楼主的，那只能说明问题应该是在DNSPod，他们草率的将场景id直接用来做用户识别了。

个人感觉这个问题不太应该是微信的问题，微信只是“替你生成了一张带场景id的二维码”而已。

当然也可能没能理解清楚LZ的意思。请指教。

ncmonster

2014-08-25 15:26:17 +08:00

##这个漏洞居然评级仅仅是中；
TSRC对漏洞的定级有：低危、中危、高危和严重，简单举几个比较明显的例子：
可以直接获取到服务端系统权限的漏洞算严重；
可以直接获取用户权限的的漏洞算高危；
需要交互才能获取到用户权限的漏洞算中危。
如果楼主觉得你提交的这个漏洞算严重。那你说说什么样的漏洞算高危，中危，低危呢

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/128126

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.