爱奇艺多处未授权访问

编号133159
Urlhttp://www.wooyun.org/bug.php?action=view&id=133159
漏洞状态厂商已经确认
漏洞标题爱奇艺多处未授权访问
漏洞类型未授权访问/权限绕过
厂商奇艺
白帽子路人甲
提交日期2015-08-10 18:44:00
公开日期2015-09-24 19:04:00
修复时间(not set)
确认时间2015-08-10 00:00:00
Confirm Spend0
漏洞标签敏感接口未加权限认证
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank3
漏洞简介
爱奇艺多处未授权访问
漏洞细节

轮播台调度系统
http://119.188.147.245/list

clipboard.png


判断依据,C段多个爱奇艺服务器:
http://119.188.147.56
http://119.188.147.50
http://119.188.147.201
http://119.188.147.200
秀场状态管理
http://106.120.155.111:8080/authentication/publishserverview

clipboard.png


判断依据,C段多个爱奇艺服务器:
http://106.120.155.75
http://106.120.155.76
http://106.120.155.77
http://106.120.155.78

POC

目录遍历
http://dev.qiyi.com/
http://101.227.21.219/
http://123.125.117.207/

clipboard.png

修复方案

限制任意访问。

状态信息 2015-08-10: 细节已通知厂商并且等待厂商处理中
2015-08-10: 厂商已经确认,细节仅向厂商公开
2015-08-20: 细节向核心白帽子及相关领域专家公开
2015-08-30: 细节向普通白帽子公开
2015-09-09: 细节向实习白帽子公开
2015-09-24: 细节向公众公开
厂商回复谢谢提交,相关漏洞其实之前内部有扫描到,业务正在跟进。感谢继续关注爱奇艺~
回应信息危害等级:低漏洞Rank:3 确认时间:2015-08-10 19:03
Showing 1-2 of 2 items.
评论内容评论人点赞数评论时间

@prolog 谢谢关注,确实是我们的疏忽,没有及时跟进已发现的安全漏洞。

奇艺02015-08-10 19:25:00

扫描到就给低分。。。

prolog02015-08-10 19:15:00