关于人人网WAP验证漏洞

date 2010年07月26日 | category 学习笔记| 坏人咖啡

作者:riusksk

当初发现这个漏洞纯属意外,因为这个token是需要通过referer盗取,比如以下代码就可获取referer:
[php]

<?php

$referer = (!empty($_SERVER[‘HTTP_REFERER’])) ? $_SERVER[‘HTTP_REFERER’] : ‘Unspecified’;

echo htmlspecialchars("$referer");

?>

[/php]

而刚好trojancyborg同学先浏览了他的人人网wap主页,估计是用手机上的,然后再转到我的博客,这样他的 referer就没记录在博客大巴的管理中心里面的访问来源里,其中就包含有这个认证token,它可直接通过url提交绕过身份验证,即url authentication token。访问URL格式如下:

http://3g.renren.com/profile.do?id=263,*63,**2&sid=5437ce***3c0d5d1457*****85f6f3e32&9agldk&htf=2 (为安全起见,用*号过滤掉)

这个也可以结合XSS来盗取referer,正如盗取cookie一样,只是比用cookie更方便一些,毕竟它直接通过URL即可获取对方主页的管理权限了。但也需要一定的运气,对方得从人人网的wap页面中跳转过来才行。如果大伙有什么更好的盗取方式,希望告之一下!当时在trojancyborg同学主页上发了篇日志,恶搞一下,还好他大人有大量,没找俺麻烦,呵呵……

对于这种漏洞的防御方法 ,正如余弦大牛在paper中所说的:使用cookie认证方式(可惜哥的破手机N3100不支持cookie),或者过滤一切可获取referer的对象,比如:

▪ html tags: img/iframe/a/area/…
▪ css styles: background:url()/@import/moz‐binding/…

所属分类: 学习笔记
Tags: , ,


没有评论

暂无评论

RSS feed for comments on this post.

对不起,该文章的评论被关闭了!