人人网相册漏洞:非好友可查看隐私相册

上网导航 2023-10-18 261 0条评论
摘要: 人人网的相册可设置为只对好友可见,但是今天一个偶尔的机会发现非好友也可以看到隐私相册,于是顺便就给一个好朋友留了言。 具体描述一下漏洞:(1) 首先自己要登陆...

人人网的相册可设置为只对好友可见,但是今天一个偶尔的机会发现非好友也可以看到隐私相册,于是顺便就给一个好朋友留了言。

具体描述一下漏洞

(1) 首先自己要登陆,假设你要偷看的用户是A,然后搜索A的名字(前提你要知道他(她)叫什么哪个学校,户籍,性别等等)。

(2) 发现A的相册是只对好友开放的,不要急,看到地址栏里后面的数字了吗?那是用户的唯一标识,对A的ID稍微做修改(稍微,就是从这串数字的第二位开始,每次只修改一位)。访问修改后的ID(假设为用户B的ID)所代表的用户首页。如:你要访问的用户A的ID是234164190,将第二位3改为4,修改后的用户B的首页地址是同理修改第345位。

(3) 重复(2)直到新得到的用户B的相册是可以访问的。

(4) 进入B的某个相册,地址栏现在的模式应该是:photo.renren.com/(ID)/album-(相册编号)别忘了你要偷看的是不对外开放相册的用户A的相册。现在将地址栏里B的ID改回A的ID。回车。

(5) 神奇的时刻来到了,页面上用户B的名字刷新成了用户A的名字。你还会发现右侧有几个用户A的相册超链接(没错,就是那几个小方块)。

(6)点击小方块,恭喜你打开了A的相册。你可以留言,不管你是否留言,因为你已经登陆了,所以A肯定会发现你访问过他的主页。

这里暴露了两个BUG:

(1) 相册访问没有权限验证的步骤,我觉得如果资源充足,完全可以写个程序暴力猜测相册编号。人人网貌似也没有反爬虫机制吧。

(2) 暴力破解?完全没必要,因为上面的hack过程说明了一个问题:相册的编号似乎跟用户ID有关系,要不然怎么两个相似ID对应同一个相册编号?初步猜测是由ID后两位(后一位?)作为因子生成的九位随机数。

本文纯属虚构,如有雷同纯属巧合。

add----------------------------------

人人网已更新,此漏洞已不存在。

文章版权及转载声明:

作者:上网导航本文地址:https://www.90xe.com/post/6153.html发布于 2023-10-18
文章转载或复制请以超链接形式并注明出处技术导航

分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏