当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033363

漏洞标题:人人网某处csrf漏洞(看着不顺眼?批量拉黑)

相关厂商:人人网

漏洞作者: breeswish

提交时间:2013-08-05 18:44

修复时间:2013-08-06 12:38

公开时间:2013-08-06 12:38

漏洞类型:CSRF

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-05: 细节已通知厂商并且等待厂商处理中
2013-08-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

a. 人人网某功能没有判断token,存在CSRF
b. 人人网某功能可批量触发CSRF
两个合在一起 于是自评一个中吧。。
其实这两个,存在好久好久了。。我真的,没有滥用批量拉黑 =w= (咳咳,我坦白,以前批量拉黑过“管理员”……

详细说明:

a.
首先来看标题所说的,就是“加入黑名单”这个操作存在CSRF漏洞。
登录用户访问 http://www.renren.com/Block.do?id=xxxxxx 以后,就会将id为xxxxxx的用户加入黑名单。加入黑名单的效果就是如果原本是好友则解除好友,然后会收不到这个用户的加好友请求。站内信好像也会收不到~
b.
批量触发CSRF的功能就是人人的“分享”了。
当分享一个网址时,人人会尝试解析网址,提取标题和内容以及图片。
其中的图片最后直接输出到好友的信息流里,于是这个图片就可以拿来批量触发了。
对于一个好友数为1000的人人用户来说,触发效果不一般~ 以及如果这个分享很吸引眼球且有时效性,被不少人分享的话,效果会进一步增强。
另外,也可以用来触发其他的任务……比如可以利用人人好友来批量刷票(GET)、批量刷访问量等等…… 很久以前还可以用来批量抓iOS人人客户端的token..
/////////
两个合起来可以有个效果就是。。让我大部分的好友和某个家伙解除好友并拉黑。。用来报复社会 效果特别不一般 ← ←

漏洞证明:

a. 加黑名单..访问下地址就可以拉黑了,不贴过程了……
b. 测试B的时候我就不用拉黑了吧。。给自己刷刷来访吧。。
1) 构造一个如下的页面

6.png


页面里有个隐藏的img(防止小伙伴们发现问题=w=
分享完以后改成301跳转那就效果更好了~
2) 分享一下

4.png


5.png


3) 于是回到新鲜事。。浏览器请求了这张“图片”
(我对图片执行了一下301跳转~ 浏览器实际上会访问我的主页)
(注:人人的分享图片有个onerror则销毁自身DOM #*&(#&*$,所以看DOM是看不到图片的。。)

7.png


话说发现人人的好友/自己的Profile底部今天出现了这些东西,这是什么情况?

wtf.png

修复方案:

a. 你们比我懂
b. 你们比我懂,分享的图片在服务器也抓一下做个缩略图就行了。
貌似在首页分享的图片最近在某些情况下已经这样做了,但是遗漏的地方很多啊 ← ←

版权声明:转载请注明来源 breeswish@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-08-06 12:38

厂商回复:

最新状态:

2013-08-06:不好意思,使用代理确认,丢包,刷新后就默认忽略了