当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021521

漏洞标题:人人网用户相册权限漏洞,可查看未允许访问用户相册内的照片

相关厂商:人人网

漏洞作者: AndyXu

提交时间:2013-04-10 17:38

修复时间:2013-05-25 17:39

公开时间:2013-05-25 17:39

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-10: 细节已通知厂商并且等待厂商处理中
2013-04-10: 厂商已经确认,细节仅向厂商公开
2013-04-20: 细节向核心白帽子及相关领域专家公开
2013-04-30: 细节向普通白帽子公开
2013-05-10: 细节向实习白帽子公开
2013-05-25: 细节向公众公开

简要描述:

通过URL直接访问所有用户(未加好友,相册加密)的相册的漏洞

详细说明:

1.访问 http://photo.renren.com/getalbumprofile.do?owner=UserID 即可进入头像相册
2.在邮箱中点开一张照片,在URL中获取其PhotoID
3.访问 http://photo.renren.com/photo/UserID/latest/photo-PhotoID 可进入最近上传的相册
4.照片下方,“来自相册‘某某相册’”,点击进入即可查看所有照片。

漏洞证明:

http://photo.renren.com/getalbumprofile.do?owner=262245825
http://photo.renren.com/photo/262245825/latest/photo-6951275204
http://photo.renren.com/photo/262245825/album-559285866
随便找了一个没有开放陌生人权限的用户,大家可以点击自行验证。

1.png


2.png


3.png


4.png


5.png


修复方案:

分析:漏洞本质是没有对直接使用ID对照片和相册访问进行过滤,利用的步骤只是视图获取相册ID,通过URL和此ID即可访问

版权声明:转载请注明来源 AndyXu@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2013-04-10 19:18

厂商回复:

Thk!

最新状态:

暂无