人人网用户相册权限漏洞,可查看未允许访问用户相册内的照片

编号21521
Urlhttp://www.wooyun.org/bug.php?action=view&id=21521
漏洞状态厂商已经确认
漏洞标题人人网用户相册权限漏洞,可查看未允许访问用户相册内的照片
漏洞类型未授权访问/权限绕过
厂商人人网
白帽子AndyXu
提交日期2013-04-10 17:38:00
公开日期2013-05-25 17:39:00
修复时间(not set)
确认时间2013-04-10 00:00:00
Confirm Spend0
漏洞标签权限漏洞
关注数0
收藏数0
白帽评级
白帽自评rank15
厂商评级
厂商评rank1
漏洞简介
通过URL直接访问所有用户(未加好友,相册加密)的相册的漏洞
漏洞细节

1.访问 http://photo.renren.com/getalbumprofile.do?owner=UserID 即可进入头像相册
2.在邮箱中点开一张照片,在URL中获取其PhotoID
3.访问 http://photo.renren.com/photo/UserID/latest/photo-PhotoID 可进入最近上传的相册
4.照片下方,“来自相册‘某某相册’”,点击进入即可查看所有照片。

POC

http://photo.renren.com/getalbumprofile.do?owner=262245825
http://photo.renren.com/photo/262245825/latest/photo-6951275204
http://photo.renren.com/photo/262245825/album-559285866
随便找了一个没有开放陌生人权限的用户,大家可以点击自行验证。

1.png


2.png


3.png


4.png


5.png


修复方案

分析:漏洞本质是没有对直接使用ID对照片和相册访问进行过滤,利用的步骤只是视图获取相册ID,通过URL和此ID即可访问

状态信息 2013-04-10: 细节已通知厂商并且等待厂商处理中
2013-04-10: 厂商已经确认,细节仅向厂商公开
2013-04-20: 细节向核心白帽子及相关领域专家公开
2013-04-30: 细节向普通白帽子公开
2013-05-10: 细节向实习白帽子公开
2013-05-25: 细节向公众公开
厂商回复Thk!
回应信息危害等级:低漏洞Rank:1 确认时间:2013-04-10 19:18
Showing 1-10 of 10 items.
评论内容评论人点赞数评论时间

刚才百度的时候, 发现好像这个洞12年1月就有记载了http://xiaozu.renren.com/xiaozu/156805/336040037

fox02013-04-30 23:42:00

@fox 短消息分享,你懂的,我以后人人网的也不发了,自己留着玩,短消息和大家分享。。

px162402013-04-30 23:22:00

刚才也找了一个, 看着1rank我都不想发了。。

fox02013-04-30 23:02:00

1rank充分说明人人网那群奇葩对于用户隐私的重视程度。嗯。

LittlePig02013-04-11 21:12:00

看我ID

漏洞不是用来公开的02013-04-11 10:26:00

@AndyXu 呵呵,所以才说给的稍微有点少了。一般没人在人人网加密相册额。一个xss啥都能搞了。。

px162402013-04-10 23:21:00

@px1624 嘿嘿,是有点夸张,不过如果是我加了密的相册,我是不希望随便就能让别人看到啦。其实我有点生气的是他们这个态度啦,人人网上的用户隐私就是好友关系日志相册这么点,基本上都开放了,人人网是各种研究的数据基地,没有隐私可言啊==

AndyXu02013-04-10 23:12:00

@AndyXu 吼吼,感觉应该给3-5rank。。这么重大有点夸张了。。

px162402013-04-10 21:13:00

@px1624 真是的,这么重大的漏斗不当回事,这不就是把用户隐私当儿戏吗

AndyXu02013-04-10 20:47:00

..1rank,还不如留着自己玩算了、、

px162402013-04-10 20:22:00