人人网用户相册权限漏洞,可查看未允许访问用户相册内的照片

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-021521

漏洞标题：人人网用户相册权限漏洞,可查看未允许访问用户相册内的照片

漏洞作者： AndyXu

提交时间：2013-04-10 17:38

修复时间：2013-05-25 17:39

公开时间：2013-05-25 17:39

漏洞类型：未授权访问/权限绕过

危害等级：中

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-04-10：细节已通知厂商并且等待厂商处理中
2013-04-10：厂商已经确认，细节仅向厂商公开
2013-04-20：细节向核心白帽子及相关领域专家公开
2013-04-30：细节向普通白帽子公开
2013-05-10：细节向实习白帽子公开
2013-05-25：细节向公众公开

简要描述：

通过URL直接访问所有用户（未加好友，相册加密）的相册的漏洞

详细说明：

1.访问 http://photo.renren.com/getalbumprofile.do?owner=UserID 即可进入头像相册
2.在邮箱中点开一张照片，在URL中获取其PhotoID
3.访问 http://photo.renren.com/photo/UserID/latest/photo-PhotoID 可进入最近上传的相册
4.照片下方，“来自相册‘某某相册’”，点击进入即可查看所有照片。

漏洞证明：

http://photo.renren.com/getalbumprofile.do?owner=262245825
http://photo.renren.com/photo/262245825/latest/photo-6951275204
http://photo.renren.com/photo/262245825/album-559285866
随便找了一个没有开放陌生人权限的用户，大家可以点击自行验证。

修复方案：

分析：漏洞本质是没有对直接使用ID对照片和相册访问进行过滤，利用的步骤只是视图获取相册ID，通过URL和此ID即可访问

版权声明：转载请注明来源 AndyXu@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：1

确认时间：2013-04-10 19:18

厂商回复：

Thk!

漏洞评价：

2013-04-10 20:22 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

..1rank，还不如留着自己玩算了、、
2013-04-10 20:47 | AndyXu ( 路人 | Rank:1 漏洞数:1 | Developer and Still a Learner)

@px1624 真是的，这么重大的漏斗不当回事，这不就是把用户隐私当儿戏吗
2013-04-10 21:13 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

@AndyXu 吼吼，感觉应该给3-5rank。。这么重大有点夸张了。。
2013-04-10 23:12 | AndyXu ( 路人 | Rank:1 漏洞数:1 | Developer and Still a Learner)

@px1624 嘿嘿，是有点夸张，不过如果是我加了密的相册，我是不希望随便就能让别人看到啦。其实我有点生气的是他们这个态度啦，人人网上的用户隐私就是好友关系日志相册这么点，基本上都开放了，人人网是各种研究的数据基地，没有隐私可言啊==
2013-04-10 23:21 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

@AndyXu 呵呵，所以才说给的稍微有点少了。一般没人在人人网加密相册额。一个xss啥都能搞了。。
2013-04-11 10:26 | 漏洞不是用来公开的 ( 路人 | Rank:9 漏洞数:3 | 心存迷惑的话谁都会丧失斗志失去力量)

看我ID
2013-04-11 21:12 | LittlePig ( 路人 | Rank:5 漏洞数:2 | </html>)

1rank充分说明人人网那群奇葩对于用户隐私的重视程度。嗯。
2013-04-30 23:02 | fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)

刚才也找了一个，看着1rank我都不想发了。。
2013-04-30 23:22 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

@fox 短消息分享，你懂的，我以后人人网的也不发了，自己留着玩，短消息和大家分享。。
2013-04-30 23:42 | fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)

刚才百度的时候，发现好像这个洞12年1月就有记载了http://xiaozu.renren.com/xiaozu/156805/336040037

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-021521

漏洞标题：人人网用户相册权限漏洞,可查看未允许访问用户相册内的照片

相关厂商：人人网

漏洞作者： AndyXu

提交时间：2013-04-10 17:38

修复时间：2013-05-25 17:39

公开时间：2013-05-25 17:39

漏洞类型：未授权访问/权限绕过

危害等级：中

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 AndyXu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-021521

漏洞标题：人人网用户相册权限漏洞,可查看未允许访问用户相册内的照片

相关厂商：人人网

漏洞作者： AndyXu

提交时间：2013-04-10 17:38

修复时间：2013-05-25 17:39

公开时间：2013-05-25 17:39

漏洞类型：未授权访问/权限绕过

危害等级：中

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-021521"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 AndyXu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：