漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2014-10-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-12-01: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
测了一下,发现如下问题:可平行越权更改他人爱情宣言,占据他人礼物,查看任意用户的妹子好友,取消好友关注。肯定还有其他问题,时间问题没继续测了。
详细说明:
看了一下百度婚恋题材app的下载数,想恋爱网站(http://www.xianglianai.cn/)旗下的“找对象”这款app下载量居然第一,比第二名世纪佳缘多一倍多。是我好久没上网找过对象out了么?
1.首先来看改他人爱情宣言吧,burp抓包,在保存“爱情宣言”时,在模拟器中将自己的uid改为他人id(作者自己手机上账户的uid为41389439)
结果自己的账户爱情宣言是空的,而受害者(作者自己的HTC手机上的账户)爱情宣言已被越权更改:
这个危害很大啊,我就不遍历将所有的妹子的爱情宣言写成“you all love xxx”了。这会让多少妹子和男友吵架啊
2.再看占据他人礼物,其实就是在查看“收到礼物”,同上改uid,查看他人收到的礼物。作者爆破了一下礼物比较多的uid,这里选0988结尾的uid来实验
结果之后无论页面上怎么刷新,这些礼物都在我的礼物单中了
这个感觉没啥用啊,难道打开手机给人家秀礼物么。妹子:看,我是土豪,这么多男生给我送礼物
3.最后,来看一下查看他人好友,并删除好友
如果能查看你的女神的好友是哪些高富帅,你会不会伤心欲绝啊,再怒而删之
上图:
首先,作者已经遍历出了一个好友比较多的账号,0920结尾的uid
点击“我的关注”,将随后两次出现的包的uid都改成0920结尾的账户
出现受害者的好友列表
删掉第一个好友,OK,成功,如下图:
漏洞证明:
1.首先来看改他人爱情宣言吧,burp抓包,在保存“爱情宣言”时,在模拟器中将自己的uid改为他人id(作者自己手机上账户的uid为41389439)
结果自己的账户爱情宣言是空的,而受害者(作者自己的HTC手机上的账户)爱情宣言已被越权更改:
这个危害很大啊,我就不遍历将所有的妹子的爱情宣言写成“you all love xxx”了。这会让多少妹子和男友吵架啊
2.再看占据他人礼物,其实就是在查看“收到礼物”,同上改uid,查看他人收到的礼物。作者爆破了一下礼物比较多的uid,这里选0988结尾的uid来实验
结果之后无论页面上怎么刷新,这些礼物都在我的礼物单中了
这个感觉没啥用啊,难道打开手机给人家秀礼物么。妹子:看,我是土豪,这么多男生给我送礼物
3.最后,来看一下查看他人好友,并删除好友
如果能查看你的女神的好友是哪些高富帅,你会不会伤心欲绝啊,再怒而删之
上图:
首先,作者已经遍历出了一个好友比较多的账号,0920结尾的uid
点击“我的关注”,将随后两次出现的包的uid都改成0920结尾的账户
出现受害者的好友列表
删掉第一个好友,OK,成功,如下图:
修复方案:
增加访问控制,现在看来好像完全没有限制哦
版权声明:转载请注明来源 月小对@乌云
>
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝