漏洞详情

披露状态:

2014-03-11: 细节已通知厂商并且等待厂商处理中
2014-03-11: 厂商已经确认,细节仅向厂商公开
2014-03-21: 细节向核心白帽子及相关领域专家公开
2014-03-31: 细节向普通白帽子公开
2014-04-10: 细节向实习白帽子公开
2014-04-25: 细节向公众公开

简要描述:

这回我加上漏洞证明了,求审核,之前那个版本不要了。
漏洞内容不具有技术性……
百度该过滤的没过滤……
危害评价取决于贵公司对用户隐私的重视程度。

详细说明:

百度个人主页中百度大事记所用接口可能会暴露用户在百度空间的隐私文章。

今天手贱自己看自己的百度个人主页,其中竟然包含有‘仅自己可见’的文章摘要。

于是赶紧在未登录的情况下看自己的个人主页……

我擦竟然还是存在的啊啊啊啊!

由于是Ajax动态获取内容,于是查看了一下所用接口如下

http://www.baidu.com/p/sys/data/time/timeline?category=年月1|年月2|年月n&offset=事件偏移量&portrait=一个ID,可以在个人主页网页源码中看到

然后我赶快在百度空间发了一篇新的‘仅对自己可见’的文章啊!

刷新个人主页看不见,但是通过接口

http://www.baidu.com/p/sys/data/time/timeline?category=201403&offset=0&portrait=我的ID

竟然还是能够看到的啊!

于是我尝试删除了这篇文章……清理了缓存再来看这接口……

这被删除了的文章竟然还在接口中活蹦乱跳的啊!

虽说活蹦乱跳了好一阵子最终还是消失了,不过看到这些我整个人都不好了……

漏洞证明:

注册了一个小号,在百度空间发了一篇仅对自己可见的文章,等待文章入选百度大事记,百度空间地址如下:

http://hi.baidu.com/bmcstepjeamrvws

个人主页如下:

http://www.baidu.com/p/fdasfxxx11

通过个人主页可以直接看到我所发的隐私文章题目及内容。

通过网页源码可以看到portrait值是00d4666461736678787831318541

然后通过如下接口同样可以看到百度空间中隐私文章的标题以及部分内容:

http://www.baidu.com/p/sys/data/time/timeline?category=201403&offset=0&portrait=00d4666461736678787831318541

有时通过接口可以看到通过个人主页大事记中还来不及看到的文章摘要。

隐私泄漏的前提是隐私文章入选百度大事记

修复方案:

在百度大事记过滤隐私文章,或者在大事记接口验证身份,对其他人不公开隐私文章摘要(题目或者内容摘要)

版权声明:转载请注明来源 Bin.Y@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-03-11 19:34

厂商回复:

感谢对百度安全的支持

最新状态:

暂无


漏洞评价: