看我如何搞到Colorwork上所有团队数据/文件/动态

漏洞详情

披露状态:

2014-02-22: 细节已通知厂商并且等待厂商处理中
2014-02-22: 厂商已经确认,细节仅向厂商公开
2014-03-04: 细节向核心白帽子及相关领域专家公开
2014-03-14: 细节向普通白帽子公开
2014-03-24: 细节向实习白帽子公开
2014-04-08: 细节向公众公开

简要描述:

我也体验一发“看我如何”
以前一直在用worktile......昨天小伙伴跟我说要用colorwork,就注册了发账号
然后发现了这个。。。。。很奇葩。
话说这个跟阿里合作算不算阿里的?

详细说明:

使用初体验确实是不错的!不过一会之后手贱的毛病又犯了

——“Colorwork采用了目前最先进的Internet安全技术, 采用服务器身份认证和数据加密的方式保护您的信息,保证您的数据安全可靠。您的数据仅对贵组织中注册的用户可用,他人完全无法访问这些数据。”

然后想到wooyun上的

“安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。”

在某个团队的项目下,搜索框打入任意特殊字符比如'

然后可以查看cw上的所有用户所有动态

很多团队敏感信息都可以查看/下载

还可以回复/填表。。。。。

如果你的团队工作的时候有个陌生人闯进来回了一句话是不是很灵异?



详见下方!

漏洞证明:

cw1.png



就是这里,你会惊奇地发现你看到了所有团队的所有动态

cw3.png





继续自动化向下拉遍历一些的动态,然后用CTRL+F直接搜关键字

找到学校校刊某女神动态(希望她不知道我黑她)

cw2.png





然后又以商业关键字搜了下

cw4.png



cw5.png



小屁孩看了也没啥用,就没看



更好的利用方式是直接脚本自动化来往下扒。。。。不知道这是不是接近传说中的黑产?反正我是看了不少我们学校国际空间站大赛的设计,可惜呀比赛已经结束了

修复方案:

其实用着感觉还不错!但是以用户数据安全为一个卖点的协作平台更应该避免出现这种情况。

这个比较奇怪。。。。。。你们自己能修复。。。。。。求高rank

版权声明:转载请注明来源 Haswell@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-02-22 20:03

厂商回复:

非常严重的问题,目前Colorwork已经紧急关闭搜索服务,等待修复漏洞。

最新状态:

2014-02-22:漏洞已经修复,搜索功能重新开放


漏洞评价: