人人网任意用户ID反查注册邮箱信息 | wooyun-2011-03619| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-03619

漏洞标题：人人网任意用户ID反查注册邮箱信息

漏洞作者： Pnig0s

提交时间：2011-12-13 17:00

修复时间：2012-01-27 17:01

公开时间：2012-01-27 17:01

漏洞类型：未授权访问/权限绕过

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2011-12-13：细节已通知厂商并且等待厂商处理中
2011-12-13：厂商已经确认，细节仅向厂商公开
2011-12-23：细节向核心白帽子及相关领域专家公开
2012-01-02：细节向普通白帽子公开
2012-01-12：细节向实习白帽子公开
2012-01-27：细节向公众公开

简要描述：

某连接填入有效ID可以查询到该用户注册时所用的邮箱,信息泄漏算么亲

详细说明：

限制访问权限吧

漏洞证明：

http://imopdl.renren.com/active/tm/2011021802/get_username_js.php?id=240702809
后面ID值只要改为有效的注册用户的ID即可查询到对应的邮箱

修复方案：

都懂

版权声明：转载请注明来源 Pnig0s@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2011-12-13 19:30

厂商回复：

万分感谢

漏洞评价：

2011-12-13 17:08 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

必须算啊~~~ 而且这个利用这个漏洞整站用户都可以被扒拉走吧
2011-12-13 17:13 | Pnig0s ( 实习白帽子 | Rank:46 漏洞数:2 | The quiter you are,the more you're able ...)

X sir~V5~坐等Spark
2011-12-13 18:07 | p.z ( 普通白帽子 | Rank:411 漏洞数:40 )

这个好啊@Pnig0s spark已经跑路到tb了...
2011-12-13 18:24 | Pnig0s ( 实习白帽子 | Rank:46 漏洞数:2 | The quiter you are,the more you're able ...)

@p.z好吧~~我无知了又。。。。~~~
2011-12-13 18:49 | X-Secure ( 路人 | Rank:6 漏洞数:2 | 扭啊扭啊扭~~~)

日啊……人人网你叫我情何以堪啊……
2011-12-13 18:55 | GaRY ( 实习白帽子 | Rank:39 漏洞数:3 | 真悲剧平男君)

这个是个很好的case啊，内部讲课可以用了
2011-12-13 19:31 | 人人网(乌云厂商)

=，= 奇葩的漏洞
2011-12-13 19:50 | Pnig0s ( 实习白帽子 | Rank:46 漏洞数:2 | The quiter you are,the more you're able ...)

看来我低估了这个Bug昂~~处女Bug就20Rank~~牛逼呲啦带火花了~~
2011-12-14 09:44 | rayh4c ( 普通白帽子 | Rank:240 漏洞数:23 )

噼啪带火花哈哈~
2012-01-27 22:24 | 歌颂 ( 实习白帽子 | Rank:36 漏洞数:5 | #1024)

社工可以用用
2012-01-28 00:53 | 梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客：dnswalk.blog.163.com)

······
2012-01-29 18:08 | xnet ( 实习白帽子 | Rank:99 漏洞数:11 | 工作～～)

我也发一个这样的了，呵呵
2012-01-30 19:58 | p.z ( 普通白帽子 | Rank:411 漏洞数:40 )

@xnet 发吧～
2012-02-01 15:03 | xnet ( 实习白帽子 | Rank:99 漏洞数:11 | 工作～～)

@p.z 我发的是网易的 :)
2012-10-08 17:26 | Coner ( 路人 | Rank:3 漏洞数:1 )

相信洞主已扒库 :)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-03619

漏洞标题：人人网任意用户ID反查注册邮箱信息

相关厂商：人人网

漏洞作者： Pnig0s

提交时间：2011-12-13 17:00

修复时间：2012-01-27 17:01

公开时间：2012-01-27 17:01

漏洞类型：未授权访问/权限绕过

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Pnig0s@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-03619

漏洞标题：人人网任意用户ID反查注册邮箱信息

相关厂商：人人网

漏洞作者： Pnig0s

提交时间：2011-12-13 17:00

修复时间：2012-01-27 17:01

公开时间：2012-01-27 17:01

漏洞类型：未授权访问/权限绕过

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2011-03619"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Pnig0s@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：