当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136376

漏洞标题:美丽说某平台大量功能存在设计缺陷(账号越权操作)

相关厂商:美丽说

漏洞作者: Wulala

提交时间:2015-08-25 12:02

修复时间:2015-10-09 12:46

公开时间:2015-10-09 12:46

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-25: 细节已通知厂商并且等待厂商处理中
2015-08-25: 厂商已经确认,细节仅向厂商公开
2015-09-04: 细节向核心白帽子及相关领域专家公开
2015-09-14: 细节向普通白帽子公开
2015-09-24: 细节向实习白帽子公开
2015-10-09: 细节向公众公开

简要描述:

美丽说某平台设计缺陷
多个越权操作

详细说明:

1. http://lm.meilishuo.com/ 无意发现一个号:
美丽说网站:lm.meilishuo.com
账户 :通付宝
密码 :tfbpay.cn
简单测试一下
2. 用 我自己账号 添加了一个媒体 ID 2341

1.png


添加媒体的HTTP Request

2.png


账号"通付宝"新建一个媒体并抓包修改

3.png


4.png


5.png


3. 账号1 ID 2341媒体内容已经被覆盖

6.png


通过上面的测试,我们知道媒体和用户之间没有做验证,而且设计错误,用户可控source_id造成数据覆盖.
4. 删除测试
账号1 删除对象

7.png


账号二执行删除操作,修改删除source_id

8.png


通过浏览器测试也是可以删除成功的,其他的同理..
5. 媒体认证-认证机制设计也太弱了
认证说明

9.png


认证文件
认证文件是固定的

10.png


6. 认证Bypass
先认证一个自己的的网站

11.png


使用上面的设计缺陷,覆盖source_id可以绕过认证机制

12.png


7. 其他
上面我们通过覆盖绕过认证,对于被覆盖的网站我们在另一个账号直接添加无须验证即验证成功.
8. 当然不光这些,比如推广位也是一样的..

13.png


引用其他用户媒体

14.png


越权删除推广位

15.png


9. 先这些吧...

漏洞证明:

修复方案:

1. source_id用户不可控
2. 媒体资源和用户权限控制
3. 网站认证机制: 每个媒体不同的认证文件,对媒体修改的操作需要重新验证

版权声明:转载请注明来源 Wulala@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-08-25 12:45

厂商回复:

非常感谢您对美丽说安全的关注,经验证该漏洞真实存在,已联系相关人员紧急修复

最新状态:

暂无

漏洞评价:

评论