当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0123005

漏洞标题:网易某手机APP请求返回包含用户敏感信息未过滤(包含密码姓名经纬度)

相关厂商:网易

漏洞作者: 路人甲

提交时间:2015-06-27 00:31

修复时间:2015-09-29 11:04

公开时间:2015-09-29 11:04

漏洞类型:用户敏感数据泄漏

危害等级:中

自评Rank:7

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-27: 细节已通知厂商并且等待厂商处理中
2015-07-01: 厂商已经确认,细节仅向厂商公开
2015-07-04: 细节向第三方安全合作伙伴开放
2015-08-25: 细节向核心白帽子及相关领域专家公开
2015-09-04: 细节向普通白帽子公开
2015-09-14: 细节向实习白帽子公开
2015-09-29: 细节向公众公开

简要描述:

某APP的正常功能,请求返回中包含此功能不需要的大量用户敏感信息,如果配合社工或者诈骗还是挺危险的。

详细说明:

网易BOBO手机客户端,通过抓包关注或者被关注的请求,在请求在中包含了大量用户的信息,如果是主播的话还包括主播的结算信息。
只要想知道哪个主播的个人信息,关注之后都可以获得,真实姓名,身份证号,手机,银行卡账号,QQ,邮箱,地址等等。如果将这些信息用来社工或者诈骗,结合视频平台的高利益估计得乐坏好多人。
想知道玩家的信息也一样,可以知道哪个土豪还有多少币,刷了多少币。都可以通过这样的方法获取,当然还有土豪的IP定位,经纬坐标定位,电话等,找上土豪家里也不是难事,给土豪的邮箱发钓鱼邮件碰上那种人傻钱多的是不是也可以大捞一笔了。
想想就心碎,我也是BOBO玩家呀,妈蛋,网易你的安全就是这样搞的吗,整个站每天至少上百万的消费,安全问题你们就这么无视吗!
如无意外整个BOBO站应该还存在不少类似的问题,大网易能自检一下吗。
PS:漏洞证实后可不要给我发波币奖励呀,真要发波币就发百万以上的吧[破泣而笑]

漏洞证明:

某个土豪的信息,还有15万RMB余额啊,主播真幸福

某个土豪的信息,还有15万RMB余额啊,主播真幸福

土豪的手机号很霸气哦,尾数全是0

土豪的手机号很霸气哦,尾数全是0

大主播的信息哦,没想到主播这么大了

大主播的信息哦,没想到主播这么大了

http://www.bobo.com/spe-data/api/follows.htm?userId=我的ID我删掉&encryptToken=TOKEN也删了&timeStamp=1435314409&random=0.2614080576512068931904764&pageNo=1&pageSize=20

修复方案:

估好安全策略,敏感信息不需要返回,开发人员不要太懒了,接口该分开还是要分开,不要想着一个接口返回全部信息,然后各种业务都用一个。
这种普通业务还返回这么多敏感信息,网易也真是没谁了。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-07-01 11:03

厂商回复:

漏洞已修复,感谢您对网易的关注!

最新状态:

暂无


漏洞评价:

评论