人人网可以偷窥任意陌生人的状态信息

漏洞详情

披露状态:

2014-03-13: 细节已通知厂商并且等待厂商处理中
2014-03-13: 厂商已经确认,细节仅向厂商公开
2014-03-23: 细节向核心白帽子及相关领域专家公开
2014-04-02: 细节向普通白帽子公开
2014-04-12: 细节向实习白帽子公开
2014-04-27: 细节向公众公开

简要描述:

利用此漏洞可以查看任意陌生人的所有人人网状态信息,写了个利用工具,效果挺爽的。用来把妹、社工之类的也蛮方便。

详细说明:

#1 抓包过程中发现了下面这个URL。



http://status.renren.com/GetSomeomeDoingList.do?userId=123456&curpage=0



是个get请求,其中userId就是索要查看用户的uid,curpage是状态信息的页码。



#2 测试可以越权访问,里面包括用户从注册到现在所发的状态。



0.jpg







漏洞证明:

#3 为了增加说服力。我特意找了一个人人网的工作人员来演示,发现人人网的员工都是人人VIP,真土豪!



1.jpg





#4 可以看到,陌生人是看不到其状态信息的。



2.jpg





#5 利用这个漏洞我写了个小工具,这就来偷窥一下妹子的隐私。



3.jpg





#6 可以看到妹子当年也有玩农场,而且还用qq农民军外挂。哈哈,更多妹子的隐私信息这里就不贴了,事后请告知你那同事妹子!





4.jpg





修复方案:

验证权限。

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-03-13 10:34

厂商回复:

已经有反馈,谢谢

最新状态:

暂无


漏洞评价: