当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036327

漏洞标题:人人网无视隐私保护向任意用户推送状态

相关厂商:人人网

漏洞作者: Wizmann

提交时间:2013-09-10 16:32

修复时间:2013-10-25 16:32

公开时间:2013-10-25 16:32

漏洞类型:恶意信息传播

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-10: 细节已通知厂商并且等待厂商处理中
2013-09-13: 厂商已经确认,细节仅向厂商公开
2013-09-23: 细节向核心白帽子及相关领域专家公开
2013-10-03: 细节向普通白帽子公开
2013-10-13: 细节向实习白帽子公开
2013-10-25: 细节向公众公开

简要描述:

使用一段简单的脚本(或者Chrome插件)就可以无视隐私保护向任何用户推送自己的状态。
潜在的危害有两种,一是恶意广告推送,二是有不良用户恶意搔扰。
**极其影响用户体验**!!!

详细说明:

发表状态时,用户可以选择“白名单可见”。Bug就出现在这个位置。
其逻辑是,先确定白名单,从Server请求一个group_id,然后在状态中附加这个group_id。
怀疑RD做这个功能的时候赶着下班回家泡妹纸。所以并没有检查白名单用户是否是本用户的好友。
所以就造成了,如果我构造一个白名单,无论我与白名单的用户是否是好友,白名单用户都能接收到推送的新鲜事。
这个Bug可以推送任何垃圾信息,而**无视任何隐私策略**!!!
望厂商尽快修复。
p.s. 校招季求Offer,我的简历http://is.gd/HZZ6d7

漏洞证明:

1. 我先申请一个没有好友的小号。没有好友意味着我不会收到任何来自其它人的新鲜事!

 - 2013年09月07日 - 01时19分43秒.png


2. 脚本填写自己的id,和白名单id列表。我们仅用一个号码做示例。

 - 2013年09月07日 - 01时22分04秒.png


3. 运行脚本。搞定。

 - 2013年09月07日 - 01时24分52秒.png

修复方案:

1. 目测这个白名单使用的是Key-ValueList的存储方式,弱弱猜测应该是Redis驱动的。所以希望加上对ValueList的安全性检查。非好友关系不能加到白名单中。
2. 贵司要不修复我天天发消息给陈一舟同学要Offer。。。=。=。。。。

版权声明:转载请注明来源 Wizmann@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2013-09-13 11:00

厂商回复:

thanks!不知你具体想做什么岗位,你的QQ号私信我!

最新状态:

暂无