当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036968

漏洞标题:百度贴吧某功能CSRF漏洞outoken参数问题

相关厂商:百度

漏洞作者: q601333824

提交时间:2013-09-13 10:23

修复时间:2013-10-28 10:23

公开时间:2013-10-28 10:23

漏洞类型:CSRF

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-13: 细节已通知厂商并且等待厂商处理中
2013-09-13: 厂商已经确认,细节仅向厂商公开
2013-09-23: 细节向核心白帽子及相关领域专家公开
2013-10-03: 细节向普通白帽子公开
2013-10-13: 细节向实习白帽子公开
2013-10-28: 细节向公众公开

简要描述:

新的连接,加了outoken参数,还是有问题(如果知道等于我没说=_=)

详细说明:

我语文表达不好...=_=,还有下面有些是猜测
1.这个是新的连接:http://duokoo.baidu.com/novel/?R=517&v=2&pageid=E70dlhtt&bck=1386&jump_p_id=M5ht79md&logout=1&outoken=d1f753d5ba3d557beda7715e09f9b61e&ssid=0&from=0&bd_page_type=1&uid=4850E0C9145E3CB2EFC9AAE552E0F3F8&pu=sz%40224_220%2Cta%40middle___3_537&fr=home&netFlag=cmnet&usid=062921E7609FB5C3A8A80BEB1CDD97B1&rdtp=0&dkfrc=1
2.这个新的连接插入图片那会出现未知错误,但是删掉&pu=sz%40224_220%2Cta%40middle___3_537这段参数再插入图片就不会出现未知错误了.....
3.最后就是&outoken这个参数感觉没用,自己试了下
4.先打百度多酷书城,然后清除COOKIES(不然不准)
5.再新打开百度首页登录帐号,再切换回多酷书城那页刷新一下页面再审查元素看看
(如果直接在多酷登录,等于第二次刷新页面,不知道第一次刷新获取到什么,所以换地方登录,这我自己猜的)

outoken.png


6.这里的outoken参数是空的,要第二次刷新才有了参数
7.既然这里的outoken参数是空的,就可以自定义获取想要的outoken值...
8.然后准备三个连接
(1)http://duokoo.baidu.com/novel/? R=865&v=2&pageid=E70dlhtt&bck=1386&jump_p_id=M5ht79md&logout=1&outoken=d1f753d5ba3d557beda7715e09f9b61e&ssid=0&from=0&bd_page_type=1&uid=4850E0C9145E3CB2EFC9AAE552E0F3F8&fr=home&netFlag=cmnet&dkfrc=1&usid=C9A7B1CE09C18E4EB82746665851EF71&rdtp=0
(2)http://duokoo.baidu.com/novel/?R=118&v=2&pageid=E70dlhtt&bck=1525&jump_p_id=Cc29ol0k&logout=1&outoken=d1f753d5ba3d557beda7715e09f9b61e&ssid=0&from=0&bd_page_type=1&uid=4850E0C9145E3CB2EFC9AAE552E0F3F8&fr=home&netFlag=cmnet&dkfrc=1&usid=C9A7B1CE09C18E4EB82746665851EF71&rdtp=3
(3)http://duokoo.baidu.com/novel/?R=253&v=2&pageid=E70dlhtt&bck=1511&jump_p_id=L6o90k7o&logout=1&outoken=d1f753d5ba3d557beda7715e09f9b61e&ssid=0&from=0&bd_page_type=1&uid=4850E0C9145E3CB2EFC9AAE552E0F3F8&fr=home&netFlag=cmnet&dkfrc=1&usid=C9A7B1CE09C18E4EB82746665851EF71&rdtp=2
9.然后发一个带这三个连接的帖子,这次是在首页

.png


10.再审查元素,看下..这三个连接都带有自己设置的outoken值

.png


11.再回到多酷书城,查看刚才没有获取的outoken值,发现现在有了outoken值,而且获取的outoken值和我自定义的outoken值的一模一样,都是&outoken=d1f753d5ba3d557beda7715e09f9b61e

outoken.png


12.自己做的总结+++上猜测...就是,第一次没有outoken值,然后带着自定义outoken值访问一次生成outoken值,第二次再带着自定义outoken值的连接访问一次就掉线了,第三个连接打酱油,只是想多访问一次

QQ截图20130913044811.png


签到出现了null,还有左上角名字也不显示,掉线了

漏洞证明:

outoken.png


1.没有获取outoken值

.png


2.发带那三个带有自定义outoken值连接的图片

.png


3.一获二掉三酱油

outoken.png


4.获取到的outoken值

QQ截图20130913044811.png


5.然后就掉了.....

修复方案:

动态获取(这也是猜的)

版权声明:转载请注明来源 q601333824@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2013-09-13 18:19

厂商回复:

此问题正在修复完善过程中,感谢对百度安全的关注。
--“百度,因你更安全”

最新状态:

暂无


漏洞评价:

评论

  1. 2013-09-13 11:08 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    ^=_=^ 内部发现

  2. 2013-09-13 16:56 | q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)

    @熊猫 Σ(っ °Д °;)っ我又火星了=_=

  3. 2013-09-13 18:07 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    @q601333824 我猜的…