当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141752

漏洞标题:人人网个人主页关注平行权限(可程序化批量关注用户)

相关厂商:人人网

漏洞作者: jeary

提交时间:2015-09-17 14:10

修复时间:2015-11-01 14:50

公开时间:2015-11-01 14:50

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-17: 厂商已经确认,细节仅向厂商公开
2015-09-27: 细节向核心白帽子及相关领域专家公开
2015-10-07: 细节向普通白帽子公开
2015-10-17: 细节向实习白帽子公开
2015-11-01: 细节向公众公开

简要描述:

本来我只是挖个csrf,但却意外发现可以越权。csrf小厂商没意见,越权求不小厂商。

详细说明:

问题出在:http://life.renren.com/show/
关注明星时抓包:

rrr1.jpg


无token,csrf无疑~本来挖洞已经到此结束,然而我觉得这个肯定会真实存在但危害不大。
所以,尝试把userid改成我的小号,继续发包,返回结果0代表成功。
在这里进行关注后,个人主页页面也关注了。(个人主页页面的关注不存在问题且防御了csrf)
关注后为:

rrr2.jpg


rrr3.jpg


rrr4.jpg


rrr5.jpg


我只刷了一千多粉丝就停止了发包。仅仅只是测试,请官方删除数据。

漏洞证明:

如上。

修复方案:

验证用户信息。

版权声明:转载请注明来源 jeary@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-09-17 14:49

厂商回复:

感谢感谢,我们已经通知了相关人员进行紧急修复,感谢您的督促和提醒!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-09-17 14:11 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这个不是粉丝吧,如果逻辑反过来影响确实很大。

  2. 2015-09-17 14:22 | jeary ( 普通白帽子 | Rank:298 漏洞数:108 | (:‮.kcaH eb nac gnihtynA))

    个人主页的关注者和粉丝差不多吧http://page.renren.com/600078060 周杰伦也才50w关注者。@疯狗