当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035563

漏洞标题:绕过个人隐私设置查看非好友相册照片

相关厂商:人人网

漏洞作者: 路人甲

提交时间:2013-08-29 14:19

修复时间:2013-10-13 14:20

公开时间:2013-10-13 14:20

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-29: 细节已通知厂商并且等待厂商处理中
2013-08-29: 厂商已经确认,细节仅向厂商公开
2013-09-08: 细节向核心白帽子及相关领域专家公开
2013-09-18: 细节向普通白帽子公开
2013-09-28: 细节向实习白帽子公开
2013-10-13: 细节向公众公开

简要描述:

之前@Icyblade 提交过一个相应的漏洞,可参考:http://www.wooyun.org/bugs/wooyun-2013-028612,公开后人人网对传参作了些小改变,可仍可以使用同样的方法达到绕过隐私设置的效果

详细说明:

隐私设置绕过,可以查看非好友的相册照片,并且不会留下来访记录,相当于是用户自己查看了自己的相册,详细操作方式同@Icyblade在 WooYun: 人人网隐私设置绕过 所述。具体人人网对传参作了小改变,既把传的参数由photoId改为了photo-XXXXX并且后面还有一个用户权限的参数

QQ截图20130829093608.jpg


fromVIP=false,再往下看

QQ截图20130829094018.jpg


再点最近的照片就能看到所有的照片了

漏洞证明:

QQ截图20130829094056.jpg

修复方案:

这个你们比我懂

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-08-29 17:20

厂商回复:

thx

最新状态:

暂无