当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021521

漏洞标题:人人网用户相册权限漏洞,可查看未允许访问用户相册内的照片

相关厂商:人人网

漏洞作者: AndyXu

提交时间:2013-04-10 17:38

修复时间:2013-05-25 17:39

公开时间:2013-05-25 17:39

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-04-10: 细节已通知厂商并且等待厂商处理中
2013-04-10: 厂商已经确认,细节仅向厂商公开
2013-04-20: 细节向核心白帽子及相关领域专家公开
2013-04-30: 细节向普通白帽子公开
2013-05-10: 细节向实习白帽子公开
2013-05-25: 细节向公众公开

简要描述:

通过URL直接访问所有用户(未加好友,相册加密)的相册的漏洞

详细说明:

1.访问 http://photo.renren.com/getalbumprofile.do?owner=UserID 即可进入头像相册
2.在邮箱中点开一张照片,在URL中获取其PhotoID
3.访问 http://photo.renren.com/photo/UserID/latest/photo-PhotoID 可进入最近上传的相册
4.照片下方,“来自相册‘某某相册’”,点击进入即可查看所有照片。

漏洞证明:

http://photo.renren.com/getalbumprofile.do?owner=262245825
http://photo.renren.com/photo/262245825/latest/photo-6951275204
http://photo.renren.com/photo/262245825/album-559285866
随便找了一个没有开放陌生人权限的用户,大家可以点击自行验证。

1.png


2.png


3.png


4.png


5.png


修复方案:

分析:漏洞本质是没有对直接使用ID对照片和相册访问进行过滤,利用的步骤只是视图获取相册ID,通过URL和此ID即可访问

版权声明:转载请注明来源 AndyXu@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2013-04-10 19:18

厂商回复:

Thk!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-04-10 20:22 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    ..1rank,还不如留着自己玩算了、、

  2. 2013-04-10 20:47 | AndyXu ( 路人 | Rank:1 漏洞数:1 | Developer and Still a Learner)

    @px1624 真是的,这么重大的漏斗不当回事,这不就是把用户隐私当儿戏吗

  3. 2013-04-10 21:13 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @AndyXu 吼吼,感觉应该给3-5rank。。这么重大有点夸张了。。

  4. 2013-04-10 23:12 | AndyXu ( 路人 | Rank:1 漏洞数:1 | Developer and Still a Learner)

    @px1624 嘿嘿,是有点夸张,不过如果是我加了密的相册,我是不希望随便就能让别人看到啦。其实我有点生气的是他们这个态度啦,人人网上的用户隐私就是好友关系日志相册这么点,基本上都开放了,人人网是各种研究的数据基地,没有隐私可言啊==

  5. 2013-04-10 23:21 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @AndyXu 呵呵,所以才说给的稍微有点少了。一般没人在人人网加密相册额。一个xss啥都能搞了。。

  6. 2013-04-11 10:26 | 漏洞不是用来公开的 ( 路人 | Rank:9 漏洞数:3 | 心存迷惑的话谁都会丧失斗志失去力量)

    看我ID

  7. 2013-04-11 21:12 | LittlePig ( 路人 | Rank:5 漏洞数:2 | </html>)

    1rank充分说明人人网那群奇葩对于用户隐私的重视程度。嗯。

  8. 2013-04-30 23:02 | fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)

    刚才也找了一个, 看着1rank我都不想发了。。

  9. 2013-04-30 23:22 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @fox 短消息分享,你懂的,我以后人人网的也不发了,自己留着玩,短消息和大家分享。。

  10. 2013-04-30 23:42 | fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)

    刚才百度的时候, 发现好像这个洞12年1月就有记载了http://xiaozu.renren.com/xiaozu/156805/336040037