当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-06892

漏洞标题:人人网看任意人的消息

相关厂商:人人网

漏洞作者: xiaobai

提交时间:2012-05-10 09:23

修复时间:2012-06-24 09:23

公开时间:2012-06-24 09:23

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-05-10: 细节已通知厂商并且等待厂商处理中
2012-05-13: 厂商已经确认,细节仅向厂商公开
2012-05-23: 细节向核心白帽子及相关领域专家公开
2012-06-02: 细节向普通白帽子公开
2012-06-12: 细节向实习白帽子公开
2012-06-24: 细节向公众公开

简要描述:

人人网如果禁止陌生人看页面是无法看状态和日志的,使用此方式可以查看任一人的状态和日志

详细说明:

http://www.renren.com/(你的ID)#//status/status?id=(对方ID)

漏洞证明:

http://www.renren.com/(你的ID)#//status/status?id=(对方ID)

修复方案:

不知道是否为厂商刻意而留的接口

版权声明:转载请注明来源 xiaobai@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)

漏洞评价:

评论

  1. 2012-05-10 10:29 | redzl ( 路人 | Rank:6 漏洞数:1 | Let's exploit it!)

    状态我知道是改status后面的ID,不知道日志怎么看,坐等公开

  2. 2012-05-10 10:45 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    要是能看到私信就好了

  3. 2012-05-10 10:46 | SZn ( 路人 | Rank:8 漏洞数:3 | 雄鹰小时候也叫菜鸟!)

    求真相,正要找一个妹子的信息!

  4. 2012-05-10 11:08 | 大肠 ( 路人 | Rank:0 漏洞数:1 | 入侵研究 seo技术)

    @xsser 真理。。。

  5. 2012-05-10 11:15 | xiaobai ( 实习白帽子 | Rank:40 漏洞数:1 | 别看资料看聊效)

    @redzl 原来是可以看日志和相册的,刚刚试了一下,日至好像已经修改了。现在还有一个看头像可以用http://photo.renren.com/getalbumprofile.do?owner=对方ID

  6. 2012-05-10 16:06 | 123luckydog ( 路人 | Rank:3 漏洞数:4 | 合作请拨打24小时热线:4008-517-517)

    @redzl 看日志呢?

  7. 2012-05-10 16:07 | 123luckydog ( 路人 | Rank:3 漏洞数:4 | 合作请拨打24小时热线:4008-517-517)

    @xiaobai 额,回错人了,bug主是你,怎么看日志哈?

  8. 2012-05-10 16:09 | 123luckydog ( 路人 | Rank:3 漏洞数:4 | 合作请拨打24小时热线:4008-517-517)

    @xsser 白帽子怎么又分级了,分得更细了…没公告啊

  9. 2012-05-10 16:11 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @123luckydog 进化中

  10. 2012-05-10 17:50 | redzl ( 路人 | Rank:6 漏洞数:1 | Let's exploit it!)

    @xsser 洞主应该是今天刚注册的吧?怎么就是普通白帽子了?[/抠鼻]

  11. 2012-05-10 21:03 | her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)

    好久没上人人网了

  12. 2012-05-13 13:46 | Mr.杨总 ( 路人 | Rank:14 漏洞数:4 | 绿色 无毒 你懂得。。。。心要宽 。。。)

    坐等公开

  13. 2012-05-14 08:45 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    隐私?看来隐私才是人人关注的问题啊。。rank20 哇靠。

  14. 2012-05-15 15:54 | 123luckydog ( 路人 | Rank:3 漏洞数:4 | 合作请拨打24小时热线:4008-517-517)

    @Blackeagle 你看看人人的其他问题,全给20,wooyun已经不和人人对话了,围脖上公示了…

  15. 2012-06-07 16:27 | 夏夏 ( 路人 | Rank:0 漏洞数:1 | 夏夏,好人一枚。)

    强制加好友的洞有人知道不?哈哈

  16. 2012-06-07 22:33 | 123luckydog ( 路人 | Rank:3 漏洞数:4 | 合作请拨打24小时热线:4008-517-517)

    @夏夏 求详细

  17. 2012-06-08 18:10 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    漏洞Rank:20 (WooYun评价) ??

  18. 2012-06-12 16:42 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    看不到日志。。。

  19. 2013-01-06 18:43 | TituX ( 路人 | Rank:19 漏洞数:3 | <script></script>)

    这个一直也没修复阿,估计是不会修复的了。有个叫人人网改造器的插件的“快速通道”功能净是这类越权链接,爽啊!

  20. 2013-01-06 18:46 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @TituX 现在还没修?

  21. 2013-01-06 18:47 | TituX ( 路人 | Rank:19 漏洞数:3 | <script></script>)

    @xsser 没有啊,而且分享也有类似的链接,也没修

  22. 2013-01-31 17:17 | Chaplin ( 路人 | Rank:2 漏洞数:1 )

    这个给力,没修、

  23. 2013-02-25 15:44 | 夏夏 ( 路人 | Rank:0 漏洞数:1 | 夏夏,好人一枚。)

    @TituX 快速通道?我怎么没看到这个功能呀?

  24. 2013-02-25 18:07 | TituX ( 路人 | Rank:19 漏洞数:3 | <script></script>)

    @夏夏 需要在插件设置里改