漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-055828
漏洞标题:乐视TV APP漏洞可获取账户与充值等敏感信息
相关厂商:乐视网
漏洞作者: 进化程序猿
提交时间:2014-04-07 13:42
修复时间:2014-05-22 13:42
公开时间:2014-05-22 13:42
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:19
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-07: 细节已通知厂商并且等待厂商处理中
2014-04-07: 厂商已经确认,细节仅向厂商公开
2014-04-17: 细节向核心白帽子及相关领域专家公开
2014-04-27: 细节向普通白帽子公开
2014-05-07: 细节向实习白帽子公开
2014-05-22: 细节向公众公开
简要描述:
乐视TV android app有明显的漏洞,随意获取到用户帐户信息
详细说明:
与上次提交的漏洞一样,可以通过http请求传入用户昵称获取到用户id,总点数,充值点,创建时间等信息。结合上个漏洞通过id获取用户详细信息的漏洞,应该就拿到用户的几乎全部数据了吧?
乐视TV不给俺送个礼物,奖金么?
通过用户昵称获取了用户的充值信息,用户信息,帐户信息,充值信息加一块是不是可以进行人群消费水平划分了?感觉很恐怖
漏洞证明:
url:http://dynamic.app.m.letv.com/android/dynamic.php?starttime=&endtime=&deptid=&productid=&username=123456&act=queryrecord&ctl=index&day=0&mod=passport&pid=&pcode=010110329&query=02&version=5.0
其中username是可以随便填写的
将query参数修改为01,没想到看到了充值记录
有图为证:
修复方案:
说一下这两个bug怎么发现的吧,过程其实很简单,乐视TV的手机app在5.0或者之前版本(前几个版本没测试)存在这个问题,一开始进去会强制升级,可能你们已经意识到这个问题了吧,其实最新版本app发现你们都是用tk去获取用户信息的,加密了。但是之前的api接口没有废掉?虽然5.0app有强制升级,但是我从app开始运行就瞅准用户中心那个点一直点下去,跳过了你们的升级提示,直接登录了。后面的就很简单了,抓包开始,一串http请求全下来了,图片为证:
小白阶段,后面的ssotk是否安全这个我暂时还没能力去校验。
建议:先废掉5.0版本调用的http接口,反正都强制升级了,今天看见那个用户id获取数据接口居然还能访问?
版权声明:转载请注明来源 进化程序猿@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:19
确认时间:2014-04-07 14:51
厂商回复:
感谢挖掘,马上修复
最新状态:
暂无