当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014021

漏洞标题:贴吧隐私设置简单绕过

相关厂商:百度

漏洞作者: Vim0x0n

提交时间:2012-10-29 14:57

修复时间:2012-10-29 20:29

公开时间:2012-10-29 20:29

漏洞类型:敏感信息泄露

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-10-29: 细节已通知厂商并且等待厂商处理中
2012-10-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

在隐私设置中设置隐藏我的所有动态后依然可以被找到曾经发过的贴子 一个很简单的方式即可绕过

详细说明:

在很早之前做搜索引擎信息屏蔽的时候就发现这个问题了
随便找的一个目标ID:一介p夫 已隐藏个人信息。 我们的目标是获取他曾在哪些贴吧发过哪些言 是否可以通过他的发言收集到一些敏感资料


咋一看什么都找不到 但是再随便点一个没有隐藏的 然后查看他的历史记录


获得link:http://tieba.baidu.com/f/search/ures?ie=utf-8&un=目标ID&from=prin
将un=换成目标id
例如:http://tieba.baidu.com/f/search/ures?ie=utf-8&un=%D2%BB%BD%E9p%B7%F2&from=prin
结果:


成功获得想要的信息。
不晓得官方怎么认为这个漏洞。我自己是感觉这个问题可大可小 比如:可能我之前发过什么比较重要的资料 电话 个人信息在某吧 但是又无法删除的情况下想隐藏信息来补救 却因为这个可大可小的漏洞泄露了隐私 确实是件蛋疼的事情。
当然 这个对普通贴吧用户影响不大 我辛苦的码了这么多的字 官方就看着是否通过和给多少Rank吧!:)

漏洞证明:

参考详细说明

修复方案:

你们比我懂~

版权声明:转载请注明来源 Vim0x0n@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-10-29 20:29

厂商回复:

贴吧的隐私设置是针对动态的,该接口查询的信息是公开可见的,感谢你对百度安全的关注。

最新状态:

暂无

漏洞评价:

评论