当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017294

漏洞标题:我是如何绕过新浪微博防御继续刷粉丝的

相关厂商:新浪微博

漏洞作者: 风萧萧

提交时间:2013-01-14 12:41

修复时间:2013-02-28 12:41

公开时间:2013-02-28 12:41

漏洞类型:CSRF

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-01-14: 细节已通知厂商并且等待厂商处理中
2013-01-14: 厂商已经确认,细节仅向厂商公开
2013-01-24: 细节向核心白帽子及相关领域专家公开
2013-02-03: 细节向普通白帽子公开
2013-02-13: 细节向实习白帽子公开
2013-02-28: 细节向公众公开

简要描述:

1.本洞非标题党;
2.首先参考上一漏洞http://wooyun.org/bugs/wooyun-2010-017271,分享了一个各大互联网厂商防范CSRF的通病;
3.其实在这之前我就与金龙大锅提过新浪对于CSRF防范是存在问题的,但是那时无法提供有力的证据,今天正好一并发着这里了。

详细说明:

1.我这里会说2个case,从最严重的开始吧!
2.出问题的站点是微博媒体,看这里:

http://media.weibo.com/profile.php?uid=1807689562&ref=

1.jpg


3.点击关注,抓包看发送的请求:是一个POST请求!我再次以为会没戏:

2.jpg


4.参数uid是你要关注的对象,fromuid是你自己,其他的都不重要,可以忽略,当然fromuid也可以忽略,我再尝试将碰到的N个POST改成GET的失败后,终于成功了一次,偷懒的程序员啊!构造如下链接

http://media.weibo.com/attention/aj_addfollow.php?uid=1981622273&fromuid=

uid当然是乌云的官方微博了撒!
5.直接访问,是不行的,验证了referer!向上一篇漏洞所说,将它放在微博域下面,我首先直接将它发表在微博首页,点击访问,也是不行,看来referer验证的够深啊!M00004应该是一个报错代号:

3.jpg


6.幸好这个media.weibo.com是可以留言的,直接在这里发表留言吧!

4.jpg


生成的短链接也截个图撒,如果能配上文艺范的文字,欺骗效果会更好:

5.jpg


点击访问,由于此时的referer确实是media.weibo.com,那么我就能顺利的帮乌云刷粉丝了!

6.jpg

漏洞证明:

1.后面这个case和上面阐述的一样啦,大家可以略过了撒!
2.微博又个频道叫着微刊:

http://kan.weibo.com/


在这里,微博用户可以主营一个刊物。其他用户如果喜欢可以订阅这个刊物,但是一旦订阅,就必须关注刊物的负责人!

1.jpg


点击【订阅】,然后抓包,查看请求。擦,一个GET请求,订阅和关注刊主都是这一个链接做到的:

http://kan.weibo.com/aj/subscribe?wid=3444217594949975&_t=0&__rnd=1358083222514


3.上述链接参数wid应该是微刊的唯一标识,其他两个参数可以忽略,我直接访问GET请求,返回如下,服务器就知道了我要CSRF啊!

2.jpg


4.于是我将这个链接直接发在了微博首页:

3.jpg


生成的短链接如下:

4.jpg


5.成功订阅刊物和关注刊主:

5.jpg


6.jpg

修复方案:

1.关键请求还是改成post比较好!
2.关键请求还是加token比较好!
3.礼物啊礼物!年底各种忙,还不忘给新浪找洞,要鼓励这种舍己为人的精神啊!

版权声明:转载请注明来源 风萧萧@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2013-01-14 14:43

厂商回复:

再次感谢风兄,稍后礼物奉上。已经安排人员进行处理了。

最新状态:

暂无