当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-053474

漏洞标题:人人网可以偷窥任意陌生人的状态信息

相关厂商:人人网

漏洞作者: px1624

提交时间:2014-03-13 10:32

修复时间:2014-04-27 10:32

公开时间:2014-04-27 10:32

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-03-13: 细节已通知厂商并且等待厂商处理中
2014-03-13: 厂商已经确认,细节仅向厂商公开
2014-03-23: 细节向核心白帽子及相关领域专家公开
2014-04-02: 细节向普通白帽子公开
2014-04-12: 细节向实习白帽子公开
2014-04-27: 细节向公众公开

简要描述:

利用此漏洞可以查看任意陌生人的所有人人网状态信息,写了个利用工具,效果挺爽的。用来把妹、社工之类的也蛮方便。

详细说明:

#1 抓包过程中发现了下面这个URL。
http://status.renren.com/GetSomeomeDoingList.do?userId=123456&curpage=0
是个get请求,其中userId就是索要查看用户的uid,curpage是状态信息的页码。
#2 测试可以越权访问,里面包括用户从注册到现在所发的状态。

0.jpg


漏洞证明:

#3 为了增加说服力。我特意找了一个人人网的工作人员来演示,发现人人网的员工都是人人VIP,真土豪!

1.jpg


#4 可以看到,陌生人是看不到其状态信息的。

2.jpg


#5 利用这个漏洞我写了个小工具,这就来偷窥一下妹子的隐私。

3.jpg


#6 可以看到妹子当年也有玩农场,而且还用qq农民军外挂。哈哈,更多妹子的隐私信息这里就不贴了,事后请告知你那同事妹子!

4.jpg


修复方案:

验证权限。

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-03-13 10:34

厂商回复:

已经有反馈,谢谢

最新状态:

暂无


漏洞评价:

评论

  1. 2014-03-13 10:36 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @人人网 已经有反馈?你确认和我的方法一样么。。。

  2. 2014-03-13 10:36 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @人人网 秒确认啊

  3. 2014-04-27 12:21 | Knight ( 实习白帽子 | Rank:38 漏洞数:10 | 刚刚上洗手间,看到一个玉树临风的少年,气...)

    @px1624 这东西老早就有了,我一直在用。