当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085767

漏洞标题:中国移动和阅读听书频道可绕过权限验证免费收听所有任意收费的听书作品章节内容

相关厂商:中国移动

漏洞作者: 帅克笛枫

提交时间:2014-12-04 15:32

修复时间:2014-12-09 15:34

公开时间:2014-12-09 15:34

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-04: 细节已通知厂商并且等待厂商处理中
2014-12-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

听~0_0~海哭的声音,叹息着谁又被伤了心,却还不清醒;一定不是我,至少我很冷静...

详细说明:

打开浏览站点地址:http://www.cmread.com/,来到移动和阅读网站,点击听书,进入到移动听书频道,如图所示:

hy1.jpg

,这边随便打开一个听书节目,如大主宰这本书,点击开始收听,如图所示:

hy2.jpg

,这边我们可以很清楚的看到除了第1章是免费收听,其余的下面的章节都是显示收费,如图所示:

hy3.jpg

,使用谷歌审查下弹出的播放器的源代码,查看代码,如图所示:

hy4.jpg

hy5.jpg

,直接点击http://www.cmread.com/www/listenbookplay?&bid=396591468&cid=396591471&formPage=freeBook网址进入播放器的框架浏览界面进行播放,如图所示:

hy6.jpg

,尝试点击第二章进行收听书,结果弹出需要用户登陆,输入用户名和密码的对话框提示,如图所示:

hy7.jpg

,仔细留一下网址中的两个参数bid和cid,如图所示:

hy9.jpg

这边第一章免费的cid是396591471,直接增加到第13章的id数字396591483进行替换,回车键,刷新页面,如图所示:

hy9.jpg

,第13章收费的书已经在开始播放中了。返回听书频道,直接点击其他栏目下面的书或者节目,如饭没了秀的栏目组的萌宝跟班不明觉厉,如图所示:

hy10.jpg

,使用谷歌浏览器审查元素,查看收听栏目的代码,如图所示:

hy11.jpg

只有一个章节,而且还是收费的,点击就弹出输入用户名和密码的对话框,截取目录下面的书名,用审查元素查看代码得到如图所示:

hy12.png

,直接把代码中的播放链接在浏览器中打开,如图所示:

hy13.jpg

,刷新后,直接播放。

漏洞证明:

仔细分析下其中收听书的章节时候,是如何来进行免费收听的,如下代码所示:

pagePlayListen(396591468,396591471,'http://www.cmread.com/u/updateUserToken.do?target=http%3A%2F%2Fread.10086.cn%2Fwww%2Flistenbookplay%3F%26bid%3D396591468%26formPage%3DfreeBook&f=88351','http://www.cmread.com/u/updateUserToken.do?target=http%3A%2F%2Fread.10086.cn%2Fwww%2Flistenbookplay%3F%26bid%3D396591468%26formPage%3DgoOrder&f=88351','http://www.cmread.com/u/updateUserToken.do?target=http%3A%2F%2Fread.10086.cn%2Fwww%2Flistenbookplay%3F%26bid%3D396591468%26cid%3D396591471%26formPage%3DfreeBook&f=88351','http://www.cmread.com/u/updateUserToken.do?target=http%3A%2F%2Fread.10086.cn%2Fwww%2Flistenbookplay%3F%26bid%3D396591468%26cid%3D396591471%26formPage%3DgoOrder&f=88351');return false

,绝大部分可以收费的节目变成了免费,是因为后面添加了用户加密密钥更新u/updateUserToken.do?target=http%3A%2F%2Fread.10086.cn%2Fwww%2Flistenbookplay%3F%26bid%3D396591468%26formPage%3DgoOrder&f=88351,target=http%3A%2F%2Fread.10086.cn%2Fwww%2Flistenbookplay%3F%26bid%3D396591468%26cid%3D396591471%26formPage%3DfreeBook&f=88351,对用户的token进行目标跳转,直接输入后面已经更新的跳转链接即可收听任意收费的书或者栏目的节目文章等等,以至全部所有收听频道,即使很多内容都是第一章节免费收听,但是到了下面的内容章节,全部免费。

修复方案:

加强验证~~修复,你们更专业。

版权声明:转载请注明来源 帅克笛枫@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-09 15:34

厂商回复:

最新状态:

暂无


漏洞评价:

评论