当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033363

漏洞标题:人人网某处csrf漏洞(看着不顺眼?批量拉黑)

相关厂商:人人网

漏洞作者: breeswish

提交时间:2013-08-05 18:44

修复时间:2013-08-06 12:38

公开时间:2013-08-06 12:38

漏洞类型:CSRF

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-05: 细节已通知厂商并且等待厂商处理中
2013-08-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

a. 人人网某功能没有判断token,存在CSRF
b. 人人网某功能可批量触发CSRF
两个合在一起 于是自评一个中吧。。
其实这两个,存在好久好久了。。我真的,没有滥用批量拉黑 =w= (咳咳,我坦白,以前批量拉黑过“管理员”……

详细说明:

a.
首先来看标题所说的,就是“加入黑名单”这个操作存在CSRF漏洞。
登录用户访问 http://www.renren.com/Block.do?id=xxxxxx 以后,就会将id为xxxxxx的用户加入黑名单。加入黑名单的效果就是如果原本是好友则解除好友,然后会收不到这个用户的加好友请求。站内信好像也会收不到~
b.
批量触发CSRF的功能就是人人的“分享”了。
当分享一个网址时,人人会尝试解析网址,提取标题和内容以及图片。
其中的图片最后直接输出到好友的信息流里,于是这个图片就可以拿来批量触发了。
对于一个好友数为1000的人人用户来说,触发效果不一般~ 以及如果这个分享很吸引眼球且有时效性,被不少人分享的话,效果会进一步增强。
另外,也可以用来触发其他的任务……比如可以利用人人好友来批量刷票(GET)、批量刷访问量等等…… 很久以前还可以用来批量抓iOS人人客户端的token..
/////////
两个合起来可以有个效果就是。。让我大部分的好友和某个家伙解除好友并拉黑。。用来报复社会 效果特别不一般 ← ←

漏洞证明:

a. 加黑名单..访问下地址就可以拉黑了,不贴过程了……
b. 测试B的时候我就不用拉黑了吧。。给自己刷刷来访吧。。
1) 构造一个如下的页面

6.png


页面里有个隐藏的img(防止小伙伴们发现问题=w=
分享完以后改成301跳转那就效果更好了~
2) 分享一下

4.png


5.png


3) 于是回到新鲜事。。浏览器请求了这张“图片”
(我对图片执行了一下301跳转~ 浏览器实际上会访问我的主页)
(注:人人的分享图片有个onerror则销毁自身DOM #*&(#&*$,所以看DOM是看不到图片的。。)

7.png


话说发现人人的好友/自己的Profile底部今天出现了这些东西,这是什么情况?

wtf.png

修复方案:

a. 你们比我懂
b. 你们比我懂,分享的图片在服务器也抓一下做个缩略图就行了。
貌似在首页分享的图片最近在某些情况下已经这样做了,但是遗漏的地方很多啊 ← ←

版权声明:转载请注明来源 breeswish@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-08-06 12:38

厂商回复:

最新状态:

2013-08-06:不好意思,使用代理确认,丢包,刷新后就默认忽略了


漏洞评价:

评论

  1. 2013-08-06 13:09 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    不好意思,使用代理确认,丢包,刷新后就默认忽略了

  2. 2013-08-06 13:14 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    不好意思,使用代理确认,丢包,刷新后就默认忽略了

  3. 2013-08-06 13:34 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    不好意思,使用代理确认,丢包,刷新后就默认忽略了

  4. 2013-08-06 13:49 | Lxai ( 路人 | Rank:10 漏洞数:8 )

    不好意思,使用代理确认,丢包,刷新后就默认忽略了

  5. 2013-08-06 14:21 | 封印师 ( 路人 | Rank:4 漏洞数:3 | 我是小彩笔来的。...(。•ˇ‸ˇ•。) ...)

    不好意思,使用代理确认,丢包,刷新后就默认忽略了

  6. 2013-08-06 16:05 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    不忽略也是1rank

  7. 2013-08-06 16:21 | 白熊一枚 ( 路人 | Rank:3 漏洞数:1 | 呃,没有主页压力好大,等有了再补上-.-)

    不好意思,使用代理确认,丢包,刷新后就默认忽略了

  8. 2013-08-06 16:41 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    不好意思,使用代理确认,丢包,刷新后就默认忽略了

  9. 2013-08-06 18:41 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    不好意思,使用代理确认,丢包,刷新后就默认忽略了

  10. 2013-08-06 19:14 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    不好意思,使用代理确认,丢包,刷新后就默认忽略了

  11. 2013-08-08 10:25 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    不好意思,使用代理确认,丢包,刷新后就默认忽略了

  12. 2013-09-18 13:13 | HHHO ( 路人 | Rank:0 漏洞数:2 | wohoooo)

    不好意思,使用代理确认,丢包,刷新后就默认忽略了

  13. 2013-09-27 19:33 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    不好意思,使用代理确认,丢包,刷新后就默认忽略了