搜索
查看: 1000|回复: 0

约会应用也不放过?利用参数污染漏洞绕过IDOR

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2017-12-19 20:54:36 | 显示全部楼层 |阅读模式

from:http://www.4hou.com/technology/9245.html


最近,我发现了一款流行的约会软件,该软件已经拥有100多万用户,如此庞大的用户群,引起了我对该软件安全性的强烈兴趣。

这款软件的主要功能是,如果你和对方相互“喜欢”的话,就算匹配成功,然后就可以开始聊天了。除此之外,它还提供了许多额外的功能,如了解谁看过你的个人资料、谁喜欢你,等等。但是要想使用这些功能的话,需要在应用程序中付费购买。

在本次安全测试的过程中,我将burp设置为中间代理,用来拦截移动流量。下面的内容,是我在访问自己的个人资料时候,burp拦截到的相关的流量。

在浏览个人资料的过程中,我注意到了一个现象,与男士相比,这款软件为女士提供了更高的匿名性。女士的名字将使用缩写形式(即名字和姓氏的第一个字母)。然而,男士的名字并没有使用缩写形式,相反,他们的个人资料中出现的都是全名。

看到了吗,这明显的不公平啊。也许,开发者可能认为男士是更好的社交工程师:D

后来,经过进一步的测试,我终于找到了第一个漏洞。

1.利用“Discover People across the Globe”功能

通过该功能,您就可以随意进行虚拟旅行,无论身在何处,都可以结交其他地方的朋友了。但是,这是一项付费后才能够使用的功能。

在浏览个人资料的同时,我在burp中发现了如下图所示的请求。如果仔细查看下面的截图,不难发现请求参数中含有与纬度和经度相关的参数。所以,我们只需将这两个值改为我们想要的位置,即可获得该区域的个人资料数据。

该软件使用的名称简写功能确实让我非常苦恼。因为,如果只有这些有限的信息的话,社交工程都难以实施。

经过一番努力,我很快就克服了这个问题,因为我又发现了另一个漏洞。

2.获取个人资料的完整信息

正如您之前所见到的那样,当我浏览自己的个人资料的时候,会用到下列请求:

我的个人资料不仅显示了完整的名称,同时还有许多不会显示给其他用户的信息。该请求包含了我的UserID,哈哈,我下面要做的事情可能大多数黑客都已经想到了:将自己的UserID改为别人的用户ID。

不幸的是……看起来没有什么效果!因为这里得到了一个“401 Unauthorized”错误:(

下面展示的是目标用户的个人资料页面。(为了保护个人隐私,我给照片打了马赛克)。

看起来,该应用程序似乎不存在直接对象引用漏洞。

别急!我们还有另一种方法。我们可以尝试添加另一个UserId参数来进行测试,看看是否能够通过参数污染访问受害者的个人资料。

耶!成功了 :)

这一次,我成功得到了女孩的全名。这样的话,通过社交网站进行社交工程就容易多了。除此之外,我还获得了很多不对外公开的信息。

在获取这些信息之后,就不难在脸书上找到她了。

我进一步考察了她在这个约会应用中的个人资料。然后,我还成功将自己的照片上传到了她的个人资料中。不仅如此,我的大部分信息都被复制到受害者的个人资料中。

但是,我却没有找到删除照片的方法。所以,男士们查看这位受害者的个人信息时会看到我的照片,但是名字却是一个女孩的名字。

我设法了解这个问题的根源,但是发现payload中的内容真是一团糟。

我解码payload中的字符串后,事情终于有了一些眉目。

{"showInitials":false,"personalQuote":"","Album":[{"photoStatus":"APPROVED","objectId":"10201413175049192","imageOrder":0,"srcBig":"http://store.s3.amazonaws.com/Pictures/1020141317<redacted>.jpg","profilePic":true},{"photoStatus":"APPROVED","objectId":"10201801229<redacted>","imageOrder":1,"srcBig":"http://store.s3.amazonaws.com/Pictures/102018012<redacted>.jpg","profilePic":false},{"photoStatus":"APPROVED","objectId":"1020286084<redacted>","imageOrder":2,"srcBig":"http://store.s3.amazonaws.com/Pictures/1020286084<redacted>.jpg","profilePic":false}],"degree":[{"isSelected":1,"tagId":1,"tagsDtoType":"NONE","name":"No Info (update your linked account)"}],"company":[{"isSelected":1,"tagId":215147778516386,"tagsDtoType":"USER_WORK","name":"<redacted>"}],"college":[{"isSelected":1,"tagId":2,"tagsDtoType":"NONE","name":"Don't Show”}],"religion":[{"isSelected":1,"tagId":1,"tagsDtoType":"USER_RELIGION","name":"Hindu"}],"location":"<redacted>","height":"<redacted>''","showHeightType":"INCHES","tagsDtos":[{"tagId":"11","name":"Cricket","tagsDtoType":"SOME_TAG"},{"tagId":"84","name":"Painting","tagsDtoType":"SOME_TAG"},{"tagId":"85","name":"Sketching","tagsDtoType":"SOME_TAG"},{"tagId":"131","name":"Free Spirited","tagsDtoType":"SOME_TAG"}],"isMutualFriendVisible":true,"designation":[{"isSelected":1,"tagId":1,"tagsDtoType":"NONE","name":"No Info (update your linked account)”}],"ethnicity":[]}

我用其他图片替换了,这样终于可以从她的个人资料中换掉我的照片了。

利用这个漏洞,可以从响应中查看她收到了多少个Crush(暗恋)消息。

接下来我们要做的事情,就是找到哪些人给她发送了Crush(暗恋)消息。

不久,我就发现了第三个漏洞。

3.阅读其他人的CrushText消息

同样,借助参数污染,我就能够读取任何人的Crush(暗恋)消息。 (嗯……让我看看你背地里干了什么:D)

4.获得无限的喜欢

在查看别人的个人资料时,我发现该软件分配的喜欢远远不够用啊!为了得到更多的喜欢,我需要等待10个小时以上。该软件只会分配给用户有限数量的喜欢,如果你用光了,那么你就只好等待系统再次分配了。

但是,在测试过程中,我偶然发现了下面的请求:

你只需要添加一个人的targetID,她就成为你喜欢的对象了。更重要的是,在次数上面,这个方法是没有限制的。

5.查看跳过的个人资料

这与Tinder中的倒带功能类似。如果您跳过了个人资料,则可以利用这个功能返回查看,然后继续。但是,这是一个专业版功能,就是说它是需要付费的。

我偶然发现了下面的请求,通过它可以查看跳过的个人资料。

在这里,我们只需挑选一个UserId并将其作为以下请求中的targetID的值。跳过的个人资料就成为自己喜欢的了。

如果向某个人误送了“喜欢”,不用担心,你可以随时使用下面的请求撤销相应的“喜欢”:

6.查看谁访问过自己的个人资料

该应用程序有一个功能,就是可以查看谁访问过你的个人资料。但不幸的是,这是一个付费功能。当有人访问自己的个人资料时,他们可以选择喜欢或不喜欢你。当访问者喜欢你的时候,你会收到一个通知,表示有人喜欢你的个人资料。

从上图中可以看出,SK喜欢我的个人资料。如果我也喜欢她,这就意味着匹配成功,我们就可以开始聊天了。然而,要想找到SK的个人资料是非常困难的,除非付费开通了查看访客的功能。

不过,你可以使用以下请求查看自己的访客:

太棒了!我终于找到她的UserId了。这样的话,我也可以给她发送一个“喜欢”。然后,匹配就成功了。

正如你在响应中看到的,匹配成功!

但是,这里还有一个问题。我只能跟已经喜欢我的人互相匹配。我觉得,如果能够让所有人都喜欢我,然后我再向她们发送"喜欢",这样的匹配方式难道不是更好一些吗?

别急……这些很快就会成为现实,这还得借助于参数污染!

7.与自己任选的个人资料进行匹配

以下是用于喜欢任意个人资料的请求。

在这里,5318415是我的actorId。 如果将我的actorId替换为其他人的ID,会收到“401 Unauthorized”错误。

所以,再次使用参数污染,就能够发送一个真正的请求。 我添加了2个actorId参数,其中第一个actorId参数是目标的actorId。 所以,这意味着,5024700(受害者)会喜欢5318415(我)。这次得到的响应是202 Accepted。

然后,我再向受害人发送一个喜欢,这样匹配就成功了。

就像上面看到的那样,匹配成功!:)

因此,使用参数污染,我可以在一天内与100多名女孩匹配成功;)

披露时间表:

2017年7月4日:将漏洞报告给供应商

2017年7月4日:漏洞报告被确认

2017年9月5日:收到赏金



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表