当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-058411

漏洞标题:精品家居网平行权限导致账号信息泄露

相关厂商:精品家居网

漏洞作者: 杜科夫斯基

提交时间:2014-04-25 17:24

修复时间:2014-06-09 17:25

公开时间:2014-06-09 17:25

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-06-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

后台未对权限进行验证,导致随意评论,修改网站任意人账号信息,可以登录网站任意人账户

详细说明:

嗯,最近在看川总人人平行权限系列,逛到一家家居网站,手痒了。找了十几分钟,大概找出来三个平行权限问题:
1、用任意用户账号评论
2、在评论时改变评论用户的头像
3、修改任意用户头像和个人描述信息
前两个都是无伤大碍,在这就不提了,通知厂商的时候一并提过去吧。
这里详细说说第三个。
一、首先我们注册2个账号(邮箱都不验证,太懒了),一个叫阿武儿,一个叫小五儿。登录后到个人主页,如下图,点击编辑

QQ图片20140425123744.jpg


二、接下来在调试器里找到保存按钮相关的onclick事件

QQ图片20140425124022.jpg


我在js文件中找了半天,最后在页面最底部找到了,囧……

QQ图片20140425124434.jpg


三、请求地址,请求参数都得到啦,headPicture对应头像图片的名称,brief对应个人简介,uid对应用户名。接下来就在我心爱的Eclipse中写了个httpclient实验,结果如下

QQ图片20140425124854.jpg


头像没修改成功,查看元素显示地址为null,想了半天,可能是后台有相关验证。原谅我放荡不羁爱自由,既然在页面能修改,换个思路,切换到阿武儿的账号,F12调出调试器,将隐藏的input表单值改掉

QQ图片20140425130313.jpg


这个时候小五儿还毫不知情,愉快的看着好看的家具流口水。

QQ图片20140425130414.jpg


下面提交保存,看到成功了

QQ图片20140425130610.jpg


刷新页面可以看到个人简介和头像都改变了,登陆用户也变成了小五儿。

QQ图片20140425130822.jpg


QQ图片20140425130908.jpg


漏洞证明:

我们小五儿被整了,也要找个地发泄呀,拿网站排名第一的设计师开刀。

xx图片20140425131056.jpg


按照上面的描述,加上一点字,隐藏的表单改成对应的id数字,提交

xx图片20140425131450.jpg


成功

xx图片20140425131553.jpg

修复方案:

加强权限

版权声明:转载请注明来源 杜科夫斯基@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝