人人网的相册可设置为只对好友可见,但是今天一个偶尔的机会发现非好友也可以看到隐私相册,于是顺便就给一个好朋友留了言。
具体描述一下漏洞:
(1) 首先自己要登陆,假设你要偷看的用户是A,然后搜索A的名字(前提你要知道他(她)叫什么哪个学校,户籍,性别等等)。
(2) 发现A的相册是只对好友开放的,不要急,看到地址栏里后面的数字了吗?那是用户的唯一标识,对A的ID稍微做修改(稍微,就是从这串数字的第二位开始,每次只修改一位)。访问修改后的ID(假设为用户B的ID)所代表的用户首页。如:你要访问的用户A的ID是234164190,将第二位3改为4,修改后的用户B的首页地址是同理修改第345位。
(3) 重复(2)直到新得到的用户B的相册是可以访问的。
(4) 进入B的某个相册,地址栏现在的模式应该是:photo.renren.com/(ID)/album-(相册编号)别忘了你要偷看的是不对外开放相册的用户A的相册。现在将地址栏里B的ID改回A的ID。回车。
(5) 神奇的时刻来到了,页面上用户B的名字刷新成了用户A的名字。你还会发现右侧有几个用户A的相册超链接(没错,就是那几个小方块)。
(6)点击小方块,恭喜你打开了A的相册。你可以留言,不管你是否留言,因为你已经登陆了,所以A肯定会发现你访问过他的主页。
这里暴露了两个BUG:
(1) 相册访问没有权限验证的步骤,我觉得如果资源充足,完全可以写个程序暴力猜测相册编号。人人网貌似也没有反爬虫机制吧。
(2) 暴力破解?完全没必要,因为上面的hack过程说明了一个问题:相册的编号似乎跟用户ID有关系,要不然怎么两个相似ID对应同一个相册编号?初步猜测是由ID后两位(后一位?)作为因子生成的九位随机数。
本文纯属虚构,如有雷同纯属巧合。
add----------------------------------
人人网已更新,此漏洞已不存在。