A-A+

某招聘网越权漏洞[可删任意用户简历信息等]

2014年10月10日 10:06 学习笔记, 漏洞安全 暂无评论 阅读 336 views 次

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

首先讲解一下什么是越权漏洞,所谓越权另一个名称也叫“平行权限”意思很简单,程序或者网站注册的普通用户会拥有管理员一样的权限,可以删除任意用户的信息、查看任意用户的隐私等等…… 这个就是“越权”或者说“平行权限”,一般出现这样漏洞的网站都是在程序编写的时候对用户操作自己信息这块考虑的不足导致的。例如本篇文章所讲的猎聘网越权漏洞。 【文章原创:http://gdd.gd  虾米】

杂项开始:昨天在逛WOOYUN得时候发现“小川”大牛又发漏洞了,大牛就是大牛,发漏洞的方式都不一样,暴漫动画,很有意思的说,即娱乐又学习知识。自己闲来无事,看着自己可怜的Rank,好久好久都没有发漏洞了似乎快一年了,其实这里不发漏洞是有原因的,算是普及一下。【“ 黑客们 ”入侵网站盗取信息,以为只要在乌云网向厂商提交漏洞,就可以洗白。】个人表示这是扯淡!!!以为入侵网站在WOOYUN提交告诉厂商这就不是犯法行为!其实我想说,大错特错,谁给你的权利入侵或者又名说安全检测别人网站的权利?谁给的?网站主给的?在你进行检测别人网站的时候你就已经违法了!!!而你还提交出去,更是把自己的信息暴露给WJ。(⊙o⊙)… 可能你会说,莫非你没提交过?呃,好吧。我也提交过。好吧不自己打自己脸了,最后一句:好自为之吧。 【本文原创,转载请保留文本来源地址:http://gdd.gd  虾米】

正文开始:网站本人没打码,请大家不要祸害。学习知识就好。http://article.liepin.com/ask/qa196028 这个事这个招聘网站的问答栏目,在这里你可以提问还可以回答。不过在这里,你提出的问题,一旦编辑审核通过,你自己无权再进行任何操作,这个逻辑有点变态了~~~。问答栏目的越权漏洞出现在,回答这块。当你回答任意问题后,你可以删除你自己的回答,这里问题就出现了,如图:

猎聘网删除自己问答

猎聘网删除自己问答

 

从图中可以看到,我们可以删除自己的回答,问题正好出现在这里,这里只需要我们抓包,把删除我们回答的ID替换成别人回答的ID,就可以删除别人的回答了,那如何找到别人回答的ID呢?很简单如图:

猎聘网查找别人问答ID

猎聘网查找别人问答ID

在别人回答的下方有赞,或者评论,只需要用BP抓包就可以看到他回答的ID。这样我们在把删除我们自己回答的ID替换为他人的回答ID,这样就可以把别人的回答给删除了,哪怕他的回答已经被小编给加精华了,照删不误!!!如图:

猎聘网抓包删除别人问答ID

猎聘网抓包删除别人问答ID

最后我们看成果吧~~如图:

猎聘网删除别人问答

猎聘网删除别人问答

如果你觉得这个漏洞没什么大危害?好吧,如果这里我们用BP的Intruder功能,直接可以清空整个网站问答里面所有人的回答!!! 什么?这还不严重?那好,咱们继续!

http://c.liepin.com/resume/getdefaultresume/ 这个是个人资料(需要注册登录后可访问,只能查看自己的。)
在这里面呢,我们可以注册一个账号,然后来填写我们自己的【工作经历】、【教育经历】、【语言能力】、【项目经验】、【自我评价】、【附加信息】等等。但是如果填写错误了,或者需要从新填写,那么这里就需要删除自己所填写的,这时候问题就出现了,如图:

猎聘网删除自己的简历

猎聘网删除自己的简历

我们只需要数据抓包,然后把,对应自己简历的ID替换成别人的ID,然后发送数据包,然后的然后就是,别人的简历就被你无情的删除了。这里你可能会问,你怎么知道别人的简历?好吧我表示我不知道,那你怎么知道能删除别人的简历?好吧,我自己咸的蛋疼,注册了两个账号,互相删着玩~ 看下图:

猎聘网抓包删除任意用户简历

猎聘网抓包删除任意用户简历

图片里面已经做了文字的详细说明,直接点击图片即可看明白,看到了吧,因为我是新注册的账号,数值才打到100多万,如果说你觉得这个一个一个删麻烦而且觉得危害不够大?好吧,这里我再次重复一下,你可以用BP的Intruder功能,直接清空这个招聘网站里面所有用户的简历,只保留自己的,这样危害够大了吧!!!。。。  我表示我只是用我自己注册的两个账户做了测试,我可没做坏事,我举手表示我是好人,管理员同学如果你看到这篇文章,你可以自己翻服务器日志,相信能证明俺是清白的。 最后说一句,这样的漏洞你细心看很多很多的,就在你的身边。

【本文原创,转载请保留文本来源地址:http://gdd.gd  虾米】

标签:

给我留言