被忽略

QQ阅读存在用户IP泄漏

一、详细说明：

QQ阅读存在用户IP泄漏，直接定位上门？

二、漏洞复现辅助信息：

1. 漏洞URL：

https://commontgw.reader.qq.com/h5/comment/detail?bid=47068783&ctype=0&commentid=a0000003BUjv1qL2ZW0005sX

1. 功能入口：

https://ih5.reader.qq.com/h5/share/comment?bid=47068783&ctype=0&commentid=a0000003BUjv1qL2ZW0005sX&appversion=qqreader_8.0.1.0888_android&site=8&qrsn=Y2E5Zjk1OGE4MGE1NzQ3MjU3NDg0N2Q5MTAwMDFiMjE1YTBm&mode=0&time=1690508570132

三、漏洞证明

打开QQ阅读安卓版

随便选一本书

然后点进评论

点进评论

分享评论，选QQ，选别的会变成图片，分享给“我的电脑”或者是文件助手。

得到链接：

https://ih5.reader.qq.com/h5/share/comment?bid=47068783&ctype=0&commentid=a0000003BUjv1qL2ZW0005sX&appversion=qqreader_8.0.1.0888_android&site=8&qrsn=Y2E5Zjk1OGE4MGE1NzQ3MjU3NDg0N2Q5MTAwMDFiMjE1YTBm&mode=0&time=1690508570132

浏览器打开

得到IP地址

IPv4和IPv6都有

审核：感谢你的报告，此问题风险较低，如有其它安全漏洞，欢迎向我们反馈。