漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0141288
漏洞标题:聚橙网某功能缺陷泄漏所有用户重要信息
相关厂商:聚橙网
漏洞作者: 163dotcom
提交时间:2015-09-15 15:11
修复时间:2015-10-30 15:12
公开时间:2015-10-30 15:12
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
聚橙网某功能缺陷泄漏所有用户重要信息
详细说明:
聚橙网查看消息及写消息功能缺陷,导致可获取所有用户的账户重要信息,如昵称、注册邮箱、注册手机号、uid。
该漏洞的危害:
1)用户敏感信息泄漏(邮箱、手机)。
2)邮箱或手机作为登录名,可通过常用密码字典撞库登录,或爆破。
漏洞证明:
0x01 信息泄漏的入口:消息提醒
用户登录后,查看消息提醒地址如下,其中id可遍历:
首次注册后会收到聚橙小秘书的消息如下:
在地址后面加/1,即可看到收件人的昵称:
0x02 信息泄漏的关键:方法返回字段
写新消息时,输入昵称会根据昵称获取用户信息,抓得地址参数为:
经测试,该请求方法没有作限制。输入如:admin,返回的数据如下,包括邮箱、手机、uid:
0x03 该漏洞的利用
编写一个简单的程序,即可收集并保存所有用户的账号信息:
不到10分钟,即可遍历超过1万条消息,提取超过1600个有效账号信息,整理如下。按照此比例,消息共41万条,总共泄漏的账户信息达6万以上:
修复方案:
建议修复:
1)http://www.juooo.com/myjuooo/view/408408 增加权限校验。
2)/user/note/touser_autocomp?name=admin 方法可不返回username,或对username进行加密或遮挡处理。
版权声明:转载请注明来源 163dotcom@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝