当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-015932

漏洞标题:人人网可将任意人(包括非好友)加为特别关注

相关厂商:人人网

漏洞作者: TituX

提交时间:2012-12-13 08:39

修复时间:2013-01-27 08:40

公开时间:2013-01-27 08:40

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-12-13: 细节已通知厂商并且等待厂商处理中
2012-12-13: 厂商已经确认,细节仅向厂商公开
2012-12-23: 细节向核心白帽子及相关领域专家公开
2013-01-02: 细节向普通白帽子公开
2013-01-12: 细节向实习白帽子公开
2013-01-27: 细节向公众公开

简要描述:

比较像CSRF,一方面是自己可以随便加,无论好友还是非好友,另外一方面还可以诱导别人把某人加为特别关注,同样无视好友关系

详细说明:

一次进入传统的主页,查看源代码瞎看,看到了这个

callback:function(r){
if(!r) return;
if(r) {
var attentionNewsfeed = $('set-attention-newsfeed').checked;
var attentionMaillist = false;
if (attentionNewsfeed) {
new XN.NET.xmlhttp({
url: 'http://www.renren.com/relationFeedOper.do?action=addHigh&id=000000000',
onSuccess: function(r) {
var json = XN.json.parse(r.responseText);
if (json.code == 1) {
XN.DO.showError('未知错误');
} else if (json.code == 2) {
XN.DO.alert('你关注的名单已经达到20人的上限,请进入<a href="http://www.renren.com/feedprefs.do">新鲜事设置</a>调整你的关注名单');
} else if (json.code == 3) {
XN.DO.alert('你已经添加过该好友,请进入<a href="http://www.renren.com/feedprefs.do">新鲜事设置</a>调整你的关注名单');
} else if (json.code == 4) {
XN.DO.alert('很抱歉,你们不是好友,只能将好友添加至关注名单。');
} else if (json.code == 0){
var a = XN.DO.alert('添加成功!');
setTimeout(function(){
a.hide();
}, 4000);


http://www.renren.com/relationFeedOper.do?action=addHigh&id=000000000


于是很可耻地试了一下,把id号换成了一个非好友的,返回的不是{code:4}……而是……{code:0}
再一看特别关注,居然被加进去了,而我和他还根本不是好友,测试了一下状态可以转可以评论,但是照片看不了(能不能看其实取决于那人的个人主页权限是否开放)
然后把链接发给了一个基友,把id=号改成了我的,他点完后一看特别关注很惊讶……唉,不相信基情了,之前没加我为特别关注啊!

漏洞证明:

TM截图未命名.jpg

修复方案:

弄个不是摆设的验证?

版权声明:转载请注明来源 TituX@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2012-12-13 11:11

厂商回复:

感谢!

最新状态:

暂无


漏洞评价:

评论

  1. 2012-12-17 22:46 | s7lx ( 路人 | Rank:4 漏洞数:1 | 前信安技术爱好者,现某移动互联网产品经理)

    求不要修复这个漏洞……一直靠这个漏洞关注ex呢……