当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-046164

漏洞标题:58同城一处未验证授权可导致全站数据被删风险

相关厂商:58同城

漏洞作者: 飞黎

提交时间:2013-12-17 10:52

修复时间:2014-01-31 10:53

公开时间:2014-01-31 10:53

漏洞类型:账户体系控制不严

危害等级:低

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-17: 细节已通知厂商并且等待厂商处理中
2013-12-17: 厂商已经确认,细节仅向厂商公开
2013-12-27: 细节向核心白帽子及相关领域专家公开
2014-01-06: 细节向普通白帽子公开
2014-01-16: 细节向实习白帽子公开
2014-01-31: 细节向公众公开

简要描述:

这个漏洞是58同城的一个奇葩接口造成的,可以删除任意一条信息,目测...也得数十万吧...

详细说明:

该漏洞位于58手机端请求的api处
post提交
http://m.webapp.58.com/deleteinfo/信息编号
PPU=UID%3D用户编号%26PPK%3Ddb90ede0%26PPT%3D2037f3ef%26SK%3D08CDD29DF3C975887035F78D2F0D275CC83E98BBE72B913B9%26LT%3D1387011150604%26UN%3Dxxxxxx%26LV%3De5d60885
其中信息编号:

QQ截图20131216213738.png


图中框选地方不带x就是了
用户编号:

QQ截图20131216213831.png


打开任意一处都可以,打开的是用户主页

QQ截图20131216213911.png


框选的地方就是了
提交后正确返回应该类似这样
{"status":"1","info":{"infoId":"信息编号","url":"http://i.webapp.58.com/bj/zufang/信息编号x.shtml?isself=1&&utps=1387022252000","catId":"1|8","browse":"5"}}
再看一下就应该是删掉的了(之前做测试删了好几十条信息,没敢再删了...)
另外,不知道是缓存还是cdn的原因,貌似有的时段有些延迟,早上测试还是即时删掉,晚上测试就得过个半个小时一个小时的才能删掉

漏洞证明:

这里没做测试,给你们内部人员演示的时候做过测试了

修复方案:

这个奇葩接口本来是有验证完整用户名的(post字符串中的xxxxx),但是貌似填错了也没有影响,这种问题不应该出现吧
PS:验证了完整用户名也没有用,大概有百分之二十的用户设用户名时都是简单的a+手机号,或者带手机号的简单用户名,用交易信息页面留下的手机号一组合就知道完整用户名了
PPS:知道了完整用户名,不光可以删信息,还可以改信息...
PPPS:至于如何修改验证机制,就靠你们了

版权声明:转载请注明来源 飞黎@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2013-12-17 11:11

厂商回复:

感谢对58同城安全的关注,我们会尽快修复处理!

最新状态:

暂无