当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090726

漏洞标题:大街网个人信息泄漏(姓名、QQ、邮箱等信息,可遍历)

相关厂商:大杰世纪科技发展(北京)有限公司

漏洞作者: bitemebitch

提交时间:2015-01-09 12:09

修复时间:2015-02-23 12:10

公开时间:2015-02-23 12:10

漏洞类型:网络敏感信息泄漏

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-09: 细节已通知厂商并且等待厂商处理中
2015-01-09: 厂商已经确认,细节仅向厂商公开
2015-01-19: 细节向核心白帽子及相关领域专家公开
2015-01-29: 细节向普通白帽子公开
2015-02-08: 细节向实习白帽子公开
2015-02-23: 细节向公众公开

简要描述:

大街网个人信息泄漏,可在获取任意人(uid)个人信息,附送一个可以获取个人动态的方法但算不上漏洞的。

详细说明:

最近偶然第一次进去了大街网,搜到了某人的档案,但是看不到更详细的信息,又不想添加为联系人,所以很偶然就找到一个可以查看注册邮箱的小漏洞。
按照大街网的设计思路,用户的邮箱、QQ等信息是添加为好友之后可见。但是这个方法可以查看任何人的个人信息。
起先我注册了一个小号去看某人的档案,但是来回各种钻都得不到邮箱,后来我就想,为啥不再注册一个小号加自己为好友看看好友之间是什么样的关系呢。。。

漏洞证明:

1.首先注册小号林一、林二,互加为联系人。

1.jpeg


2.F12
将jid="88888888"改成你想看的人的id。

2.png


3.点击改好的联系人。
我的小号是这样的:

3.png


改完查看某人的卡片是这样的:

4.png


这个改改id号就可遍历了。
送上我师兄的,他应该不知道,哈哈

5.png


4.附送一个抓包抓到的链接:http://www.dajie.com//profilefeed/list?uid=88888888
这个链接可以查看任意人的动态,虽然打开来文本是乱码,但是乱码之下的链接都是可以点的,可以猜到哪些是用户给哪个话题点了赞,评论的了哪些话题。虽然这些内容加入同个圈子之后似乎就可以看到,但是大街网的常规操作应该是无法查看非好友的动态的。这个不知道算不算。

修复方案:

贵司肯定比我在行→_→

版权声明:转载请注明来源 bitemebitch@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-01-09 13:47

厂商回复:

已确认该问题,正在修复.

最新状态:

暂无