人人网可以偷窥任意陌生人的状态信息

漏洞概要

缺陷编号:WooYun-2014-053474

漏洞标题:人人网可以偷窥任意陌生人的状态信息

相关厂商:人人网

漏洞作者:px1624

提交时间:2014-03-13 10:32

公开时间:2014-04-27 10:32

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2014-03-13: 细节已通知厂商并且等待厂商处理中
2014-03-13: 厂商已经确认,细节仅向厂商公开
2014-03-23: 细节向核心白帽子及相关领域专家公开
2014-04-02: 细节向普通白帽子公开
2014-04-12: 细节向实习白帽子公开
2014-04-27: 细节向公众公开

简要描述:

利用此漏洞可以查看任意陌生人的所有人人网状态信息,写了个利用工具,效果挺爽的。用来把妹、社工之类的也蛮方便。

详细说明:

#1抓包过程中发现了下面这个URL。http://status.renren.com/GetSomeomeDoingList.do?userId=123456&curpage=0是个get请求,其中userId就是索要查看用户的uid,curpage是状态信息的页码。#2 测试可以越权访问,里面包括用户从注册到现在所发的状态。

漏洞证明:

#3 为了增加说服力。我特意找了一个人人网的工作人员来演示,发现人人网的员工都是人人VIP,真土豪!

#4 可以看到,陌生人是看不到其状态信息的。

#5 利用这个漏洞我写了个小工具,这就来偷窥一下妹子的隐私。

#6 可以看到妹子当年也有玩农场,而且还用qq农民军外挂。哈哈,更多妹子的隐私信息这里就不贴了,事后请告知你那同事妹子!

修复方案:

验证权限。

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-03-1310:34

厂商回复:

已经有反馈,谢谢

最新状态:

暂无

评价

  1. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    @人人网 已经有反馈?你确认和我的方法一样么。。。

  2. 2010-01-01 00:00 Finger 白帽子 | Rank:748 漏洞数:95)

    @人人网 秒确认啊

  3. 2010-01-01 00:00 Knight 白帽子 | Rank:18 漏洞数:4)

    @px1624 这东西老早就有了,我一直在用。