当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04421

漏洞标题:人民日报电子版随便看

相关厂商:人民网

漏洞作者: enab1e

提交时间:2012-02-11 20:36

修复时间:2012-02-11 20:36

公开时间:2012-02-11 20:36

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:6

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-02-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-02-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

人民日报电子版,存在配置漏洞,不付费也可以看到需要付费的才能看的报纸!

详细说明:

http://paper.people.com.cn/dnis/index.jsp 限制说明只能看到2009年1月1日之后的报纸,要看其他时段的是要付费的,实际上由于存在漏洞,可以绕过权限限制,可以看到未授权的电子版报纸!

漏洞证明:

通过修改过URL可以看到限制时间以外的需要付费的人民日报:
如 http://paper.people.com.cn/rmrb/html/2008-12/24/nbs.D110000renmrb_03.htm
可以看到2008年12月24日的报纸。
通过:http://paper.people.com.cn/rmrb/html/2006-04/01/node_1.htm 可以看到2006年4月1日全部8版的报纸!

修复方案:

对URL进行过滤,但是建议人民网向大众免费开放人民日报!

版权声明:转载请注明来源 enab1e@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:4 (WooYun评价)