当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-015074

漏洞标题:360游戏网站设置缺陷,导致泄露用户隐私。

相关厂商:奇虎360

漏洞作者: _Evil

提交时间:2012-11-21 19:12

修复时间:2013-01-05 19:13

公开时间:2013-01-05 19:13

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-21: 细节已通知厂商并且等待厂商处理中
2012-11-22: 厂商已经确认,细节仅向厂商公开
2012-12-02: 细节向核心白帽子及相关领域专家公开
2012-12-12: 细节向普通白帽子公开
2012-12-22: 细节向实习白帽子公开
2013-01-05: 细节向公众公开

简要描述:

霸气泄露,希望给个U盘。
剑心:安全用数据说话!

详细说明:

测试1);http://wan.360.cn/v/search/123 (123随便示范下的)

1.jpg


2)去尝试下。

2.jpg


加了好友抓包下:

http://wan.360.cn/?


do=user_addfriend&fid=199090080&token=fab1986a77ca31e71b90c2ce0cc099c4


&fid=199090080就是那个杀手123的对应ID恩。
3)去发个消息给他吧。

3.jpg


4)霸气泄露地方注意哦!

http://wan.360.cn/v/getchat

搜索 

199090080


"uid":"199090080","name":"\u6740123\u624b","real_name":"","age":0,"gender":"male","gender_zh":"\u7537\u751f","iscertified":0,"location":"\u5317\u4eac","address":"","avatar_small":"http:\/\/p2.qhimg.com\/d\/_tao\/qipai\/avatar\/7_1.jpg","avatar_big":"http:\/\/p2.qhimg.com\/d\/_tao\/qipai\/avatar\/7.jpg","avatar_big_pending":null,"avatar_small_pending":null,"avatar_status":"2","birthday":"--","xingzuo":"-","zodiac":"0","hobby":"-","degree":"-","job":"-","height":"-","body_type":"-","favorite_game_type":"-","qq":"","phone":"","addprofiles":null,"id_number":"","email":"-","video_certify":0,"province":"-","city":"-","integrity":13,"avatar_rate":"http:\/\/p9.qhimg.com\/d\/wan\/v3\/no-sc.png","avatar_rate_pending":null,"avatar_rate_small":"http:\/\/p6.qhimg.com\/t01a17cb9d396bff7dc.jpg","avatar_rate_small_pending":null,"avatar_rate_status":"0","certification_avatar":null,"certification_status":"0","signature":null,"privacy_settings":{"profile":"all","played_game":"all","appear_on_toolbar":"yes"},"verify_flag":0,"isvip":null,"isfriend":0,"isattention":0,"isfan":0,"album_count":0,"picture_count":0,"newmsg_count":0,"newevent_count":0,"newchat_count":0,"newinvite_count":0,"newquora_count":0,"score":0,"score_count":0,"isscore":0,"playing":[],"isonline":0}}


qq email各种没有。。。 这个哥们没留信息啊! 重新试个。
........步骤你懂的。

email":"[email protected]......"email":"[email protected]",.......


貌似他们不喜欢留QQ???
PS:注意,重点是需要给要看信息的帐号发送信息,然后在http://wan.360.cn/v/chat,可见即可,在访问http://wan.360.cn/v/getchat 获取用户信息。

漏洞证明:

http://wan.360.cn/v/getchat

4.jpg


do=user_addfriend&fid=199090080&token=fab1986a77ca31e71b90c2ce0cc099c4

fid攻击者便利就OK了一个 for ......
发送地方也是对应fid的你懂的。。。。。。。
然后就可以查询所有人的隐私了。。。。

修复方案:

callback不用返回那些数据。

版权声明:转载请注明来源 _Evil@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-11-22 01:39

厂商回复:

感谢您的反馈,首先确定我们的接口是符合安全隐私策略的,这里提到的敏感信息(QQ、Phone等)只是key保留输出,内容并没有输出。
而Email也是产品设计上允许公开可见的。我们会尽快取消Key的保留输出。再次感谢您的反馈。

最新状态:

暂无