当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-016037

漏洞标题:百合网可随意查看用户的真实姓名

相关厂商:百合网

漏洞作者: 路人甲

提交时间:2012-12-14 21:37

修复时间:2013-01-28 21:38

公开时间:2013-01-28 21:38

漏洞类型:内容安全

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-12-14: 细节已通知厂商并且等待厂商处理中
2012-12-18: 厂商已经确认,细节仅向厂商公开
2012-12-28: 细节向核心白帽子及相关领域专家公开
2013-01-07: 细节向普通白帽子公开
2013-01-17: 细节向实习白帽子公开
2013-01-28: 细节向公众公开

简要描述:

百合网最大的标榜就是实名认证,保护用户的真实身份。但是他们的交换实名认证模块有泄漏真实姓名的情况。安装程序逻辑,双方同意才会公开对应的真实姓名。但是在双方同意前程序中已经输出对应的真实姓名。也就是说,通过这个漏洞,可以向全网站所有的实名用户发出交换实名认证请求,然后在程序中就可以得到全部的真实姓名信息了。

详细说明:

百合网最大的标榜就是实名认证,保护用户的真实身份。但是他们的交换实名认证模块有泄漏真实姓名的情况。安装程序逻辑,双方同意才会公开对应的真实姓名。但是在双方同意前程序中已经输出对应的真实姓名。也就是说,通过这个漏洞,可以向全网站所有的实名用户发出交换实名认证请求,然后在程序中就可以得到全部的真实姓名信息了。
发生问题的模块是:http://realswap.baihe.com/getUserRealAuthInfoByMe.action
返回的json串里面有一项 realnname ,是utf8编码的,
解码后就是对应的真实姓名。
本人已经在第一时间通知了官方微博,但是一周过去了,漏洞依然。
详情见本人微博 http://weibo.com/newsn

漏洞证明:

QQ截图20121214204945.png


QQ截图20121214204324.png

修复方案:

http://realswap.baihe.com/getUserRealAuthInfoByMe.action
模块返回值取消realname输出。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2012-12-18 09:04

厂商回复:

感谢这位朋友的帮助,已经处理,谢谢。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-01-29 09:48 | PCanyi ( 路人 | Rank:25 漏洞数:6 | 【为自己吹下的牛逼奋斗终身!】 幻想着改...)

    看到虎子机器人神器

  2. 2013-03-02 08:32 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    这个漏洞是我提交的,求认领~~ 哈哈,这个漏洞被接收了,连个消息都没给我,也没有给我会员。礼物也没有,伤心了。

  3. 2013-03-02 08:33 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @PCanyi 不是啥神器,我自己做着玩的。挺简单的程序,webqq接口的