漏洞详情

披露状态:

2014-04-07: 细节已通知厂商并且等待厂商处理中
2014-04-07: 厂商已经确认,细节仅向厂商公开
2014-04-17: 细节向核心白帽子及相关领域专家公开
2014-04-27: 细节向普通白帽子公开
2014-05-07: 细节向实习白帽子公开
2014-05-22: 细节向公众公开

简要描述:

乐视TV android app有明显的漏洞,随意获取到用户帐户信息

详细说明:

与上次提交的漏洞一样,可以通过http请求传入用户昵称获取到用户id,总点数,充值点,创建时间等信息。结合上个漏洞通过id获取用户详细信息的漏洞,应该就拿到用户的几乎全部数据了吧?

乐视TV不给俺送个礼物,奖金么?

通过用户昵称获取了用户的充值信息,用户信息,帐户信息,充值信息加一块是不是可以进行人群消费水平划分了?感觉很恐怖

漏洞证明:

url:http://dynamic.app.m.letv.com/android/dynamic.php?starttime=&endtime=&deptid=&productid=&username=123456&act=queryrecord&ctl=index&day=0&mod=passport&pid=&pcode=010110329&query=02&version=5.0

其中username是可以随便填写的

leshi1.png



将query参数修改为01,没想到看到了充值记录

有图为证:

leshi3.png

修复方案:

说一下这两个bug怎么发现的吧,过程其实很简单,乐视TV的手机app在5.0或者之前版本(前几个版本没测试)存在这个问题,一开始进去会强制升级,可能你们已经意识到这个问题了吧,其实最新版本app发现你们都是用tk去获取用户信息的,加密了。但是之前的api接口没有废掉?虽然5.0app有强制升级,但是我从app开始运行就瞅准用户中心那个点一直点下去,跳过了你们的升级提示,直接登录了。后面的就很简单了,抓包开始,一串http请求全下来了,图片为证:

leshi2.png



小白阶段,后面的ssotk是否安全这个我暂时还没能力去校验。

建议:先废掉5.0版本调用的http接口,反正都强制升级了,今天看见那个用户id获取数据接口居然还能访问?

版权声明:转载请注明来源 进化程序猿@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:19

确认时间:2014-04-07 14:51

厂商回复:

感谢挖掘,马上修复

最新状态:

暂无


漏洞评价: