百合网可随意查看用户的真实姓名

漏洞概要

缺陷编号:WooYun-2012-016037

漏洞标题:百合网可随意查看用户的真实姓名

相关厂商:百合网

漏洞作者:路人甲

提交时间:2012-12-14 21:37

公开时间:2013-01-28 21:38

漏洞类型:内容安全

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-12-14: 细节已通知厂商并且等待厂商处理中
2012-12-18: 厂商已经确认,细节仅向厂商公开
2012-12-28: 细节向核心白帽子及相关领域专家公开
2013-01-07: 细节向普通白帽子公开
2013-01-17: 细节向实习白帽子公开
2013-01-28: 细节向公众公开

简要描述:

百合网最大的标榜就是实名认证,保护用户的真实身份。但是他们的交换实名认证模块有泄漏真实姓名的情况。安装程序逻辑,双方同意才会公开对应的真实姓名。但是在双方同意前程序中已经输出对应的真实姓名。也就是说,通过这个漏洞,可以向全网站所有的实名用户发出交换实名认证请求,然后在程序中就可以得到全部的真实姓名信息了。

详细说明:

百合网最大的标榜就是实名认证,保护用户的真实身份。但是他们的交换实名认证模块有泄漏真实姓名的情况。安装程序逻辑,双方同意才会公开对应的真实姓名。但是在双方同意前程序中已经输出对应的真实姓名。也就是说,通过这个漏洞,可以向全网站所有的实名用户发出交换实名认证请求,然后在程序中就可以得到全部的真实姓名信息了。发生问题的模块是:http://realswap.baihe.com/getUserRealAuthInfoByMe.action返回的json串里面有一项 realnname ,是utf8编码的,解码后就是对应的真实姓名。本人已经在第一时间通知了官方微博,但是一周过去了,漏洞依然。详情见本人微博 http://weibo.com/newsn

漏洞证明:

修复方案:

http://realswap.baihe.com/getUserRealAuthInfoByMe.action模块返回值取消realname输出。

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2012-12-18 09:04

厂商回复:

感谢这位朋友的帮助,已经处理,谢谢。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 PCanyi 白帽子 | Rank:25 漏洞数:6)

    看到虎子机器人神器

  2. 2010-01-01 00:00 苏南同学 白帽子 | Rank:41 漏洞数:5)

    这个漏洞是我提交的,求认领~~ 哈哈,这个漏洞被接收了,连个消息都没给我,也没有给我会员。礼物也没有,伤心了。

  3. 2010-01-01 00:00 苏南同学 白帽子 | Rank:41 漏洞数:5)

    @PCanyi 不是啥神器,我自己做着玩的。挺简单的程序,webqq接口的