当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010165

漏洞标题:百度某站任意评论删除&某站跨域问题

相关厂商:百度

漏洞作者: cnrstar

提交时间:2012-07-26 13:24

修复时间:2012-09-09 13:25

公开时间:2012-09-09 13:25

漏洞类型:系统/服务运维配置不当

危害等级:低

自评Rank:4

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-07-26: 细节已通知厂商并且等待厂商处理中
2012-07-27: 厂商已经确认,细节仅向厂商公开
2012-08-06: 细节向核心白帽子及相关领域专家公开
2012-08-16: 细节向普通白帽子公开
2012-08-26: 细节向实习白帽子公开
2012-09-09: 细节向公众公开

简要描述:

随便一个用户可以越权删除其他用户的二级评论
还有一个跨域问题。

详细说明:

1.越权删除其他用户评论(获取reply_id很鸡肋)
如http://s.baidu.com/comment/8364dabba8236a6c06e03d11这个评论,某人发表“回应”后会在上面显示,对应一个reply_id。


攻击者用自己的账号登陆上去,随意在任意一个地方发表一个评论,然后点删除该评论,抓包,获取的POST数据包大致如下图:


修改POST数据包的reply_id然后repeat


在刷新一下发现原来的评论已经没了。


2.corssdomain.xml配置失误
http://qiao.baidu.com/crossdomain.xml
全允许了

漏洞证明:

1. 如上所述,同学在另外的地方发表评论我在本地可以成功删除,就是那个reply_id不好搞到。结合其他方法吧,匿了半天就发现最后两位replyid是5f不变,然后往前是依次递减,任何一个人的评论都会递减。再之后就没规律了
不过如果要是递归穷举,相信可以删除一坨评论的。
2.
http://qiao.baidu.com/crossdomain.xml

修复方案:

你懂的~

版权声明:转载请注明来源 cnrstar@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2012-07-27 19:35

厂商回复:

感谢您对百度安全的关注,我们尽快安排处理!

最新状态:

暂无

漏洞评价:

评论

  1. 2012-07-26 14:57 | FallenAngel ( 路人 | 还没有发布任何漏洞 | 啊喔呃咿呜喻。。0.0)

    我想知道怎么获得那个id呢?好像那个只有发布者本人能看到,发布之后别人是看不到的

  2. 2012-07-26 14:58 | FallenAngel ( 路人 | 还没有发布任何漏洞 | 啊喔呃咿呜喻。。0.0)

    @cnrstar

  3. 2012-07-26 16:42 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    @FallenAngel 就是这个鸡肋了。逆了半天的HASH算法,没搞出来,只有一些小规律,24位的字符串最后四位有规律:最后两位不变,倒数第三位和倒数第四位递减。目测最后四位是salt,前面20位应该是用户名或者comment_id跟salt的一个hash,但是。。。但是没逆出来。。不过搞破坏可以递归进行不断删除。。

  4. 2012-07-27 09:18 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    啊喔呃咿呜喻。。0.0

  5. 2012-07-28 16:23 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    百度应用的吗?