人人V7可未授权访问任意人人用户相册等隐私数据

编号159762
Urlhttp://www.wooyun.org/bug.php?action=view&id=159762
漏洞状态厂商已经确认
漏洞标题人人V7可未授权访问任意人人用户相册等隐私数据
漏洞类型未授权访问/权限绕过
厂商人人网
白帽子路人甲
提交日期2015-12-09 21:10:00
公开日期2016-01-23 15:16:00
修复时间(not set)
确认时间2015-12-10 00:00:00
Confirm Spend1
漏洞标签敏感接口未加权限认证 越权操作 未授权访问 用户敏感信息泄露
关注数0
收藏数0
白帽评级
白帽自评rank15
厂商评级
厂商评rank3
漏洞简介
有一种关系叫我人人有你...大从网还能再战五百年!!!
漏洞细节

问题比较简单,描述和标题中都不敢说... ...
在人人V7中,我们访问一位有隐私设置的陌生同学的主页、相册时,是不可访问的:
比如访问女神的主页

01.jpg


显示由于隐私设置,只能打招呼添加好友,相册日志什么的都是未授权的。
依稀记得旧版时访问这位女神相册时是这个样子的

02.jpg


但是!!!在V7版本的人人这里也只是隐藏了相册地址,竟然去掉了权限控制,只要我们访问一个好友的相册,找到相册的url,并将其中的uid换为女神的uid即可进入女神未授权的相册,如下图已经进入这位同学的相册:

03.jpg


终于进入了女神相册...一睹芳容的同时,还可以看女神日常传上来的所有照片.....
此外,这个页面的其他信息也可以访问:

04.jpg


女神发的状态,

05.jpg

日志等...
路径完全相同且没有权限校验,写个爬虫,更换uid分分钟把妹纸们的相册都扫下来了...
比如再换一位没有权限访问的同学,依旧可以:

0.jpg


1.jpg


22.jpg


33.jpg


这个妹纸也是个人人重度用户呢...2015年10月还更新过状态...

POC

0.jpg


1.jpg


2.jpg


3.jpg

修复方案

加上权限管理。参照旧版人人权限控制。
希望人人能回到主打人际关系的时代,少整些乱起八糟的东西...毕竟还有我们这一票人在支持人人...
有一种关系叫做我人人有你!

状态信息 2015-12-09: 细节已通知厂商并且等待厂商处理中
2015-12-10: 厂商已经确认,细节仅向厂商公开
2015-12-20: 细节向核心白帽子及相关领域专家公开
2015-12-30: 细节向普通白帽子公开
2016-01-09: 细节向实习白帽子公开
2016-01-23: 细节向公众公开
厂商回复您好,这个问题是产品策略的设计,用户设置的主隐私并不能够对用户自己的状态和相册等内容进行隐私,而是在照片或者状态等单独设置的,所以您通过url进入相册后,如果该用户并没有对相册内的照片设置隐私,照片对您就是可见的。感谢关注人人网。
回应信息危害等级:低漏洞Rank:3 确认时间:2015-12-10 11:14
Showing 1-3 of 3 items.
评论内容评论人点赞数评论时间

这个已经是公开的了,人人网没人玩了,所以开始坑爹了。

px162402015-12-30 17:52:00

还指着这个漏洞看别人相册呢....

bjca_axtx02015-12-10 09:24:00

人人网竟然还没倒闭。。。

px162402015-12-09 21:49:00