人人网个人主页关注平行权限(可程序化批量关注用户)

编号141752
Urlhttp://www.wooyun.org/bug.php?action=view&id=141752
漏洞状态厂商已经确认
漏洞标题人人网个人主页关注平行权限(可程序化批量关注用户)
漏洞类型未授权访问/权限绕过
厂商人人网
白帽子jeary
提交日期2015-09-17 14:10:00
公开日期2015-11-01 14:50:00
修复时间(not set)
确认时间2015-09-17 00:00:00
Confirm Spend0
漏洞标签越权操作 平行权限
关注数0
收藏数0
白帽评级
白帽自评rank15
厂商评级
厂商评rank10
漏洞简介
本来我只是挖个csrf,但却意外发现可以越权。csrf小厂商没意见,越权求不小厂商。
漏洞细节

问题出在:http://life.renren.com/show/
关注明星时抓包:

rrr1.jpg


无token,csrf无疑~本来挖洞已经到此结束,然而我觉得这个肯定会真实存在但危害不大。
所以,尝试把userid改成我的小号,继续发包,返回结果0代表成功。
在这里进行关注后,个人主页页面也关注了。(个人主页页面的关注不存在问题且防御了csrf)
关注后为:

rrr2.jpg


rrr3.jpg


rrr4.jpg


rrr5.jpg


我只刷了一千多粉丝就停止了发包。仅仅只是测试,请官方删除数据。

POC

如上。

修复方案

验证用户信息。

状态信息 2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-17: 厂商已经确认,细节仅向厂商公开
2015-09-27: 细节向核心白帽子及相关领域专家公开
2015-10-07: 细节向普通白帽子公开
2015-10-17: 细节向实习白帽子公开
2015-11-01: 细节向公众公开
厂商回复感谢感谢,我们已经通知了相关人员进行紧急修复,感谢您的督促和提醒!
回应信息危害等级:高漏洞Rank:10 确认时间:2015-09-17 14:49
Showing 1-2 of 2 items.
评论内容评论人点赞数评论时间

个人主页的关注者和粉丝差不多吧http://page.renren.com/600078060 周杰伦也才50w关注者。@疯狗

jeary02015-09-17 14:22:00

这个不是粉丝吧,如果逻辑反过来影响确实很大。

疯狗02015-09-17 14:11:00