当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0159762

漏洞标题:人人V7可未授权访问任意人人用户相册等隐私数据

相关厂商:人人网

漏洞作者: 路人甲

提交时间:2015-12-09 21:10

修复时间:2016-01-23 15:16

公开时间:2016-01-23 15:16

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-09: 细节已通知厂商并且等待厂商处理中
2015-12-10: 厂商已经确认,细节仅向厂商公开
2015-12-20: 细节向核心白帽子及相关领域专家公开
2015-12-30: 细节向普通白帽子公开
2016-01-09: 细节向实习白帽子公开
2016-01-23: 细节向公众公开

简要描述:

有一种关系叫我人人有你...大从网还能再战五百年!!!

详细说明:

问题比较简单,描述和标题中都不敢说... ...
在人人V7中,我们访问一位有隐私设置的陌生同学的主页、相册时,是不可访问的:
比如访问女神的主页

01.jpg


显示由于隐私设置,只能打招呼添加好友,相册日志什么的都是未授权的。
依稀记得旧版时访问这位女神相册时是这个样子的

02.jpg


但是!!!在V7版本的人人这里也只是隐藏了相册地址,竟然去掉了权限控制,只要我们访问一个好友的相册,找到相册的url,并将其中的uid换为女神的uid即可进入女神未授权的相册,如下图已经进入这位同学的相册:

03.jpg


终于进入了女神相册...一睹芳容的同时,还可以看女神日常传上来的所有照片.....
此外,这个页面的其他信息也可以访问:

04.jpg


女神发的状态,

05.jpg

日志等...
路径完全相同且没有权限校验,写个爬虫,更换uid分分钟把妹纸们的相册都扫下来了...
比如再换一位没有权限访问的同学,依旧可以:

0.jpg


1.jpg


22.jpg


33.jpg


这个妹纸也是个人人重度用户呢...2015年10月还更新过状态...

漏洞证明:

0.jpg


1.jpg


2.jpg


3.jpg

修复方案:

加上权限管理。参照旧版人人权限控制。
希望人人能回到主打人际关系的时代,少整些乱起八糟的东西...毕竟还有我们这一票人在支持人人...
有一种关系叫做我人人有你!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-12-10 11:14

厂商回复:

您好,这个问题是产品策略的设计,用户设置的主隐私并不能够对用户自己的状态和相册等内容进行隐私,而是在照片或者状态等单独设置的,所以您通过url进入相册后,如果该用户并没有对相册内的照片设置隐私,照片对您就是可见的。感谢关注人人网。

最新状态:

暂无