人人网相册漏洞：非好友可查看隐私相册

  人人网的相册可设置为只对好友可见，但是今天一个偶尔的机会发现非好友也可以看到隐私相册，于是顺便就给一个好朋友留了言。
  具体描述一下漏洞：
(1) 首先自己要登陆，假设你要偷看的用户是A，然后搜索A的名字(前提你要知道他(她)叫什么哪个学校，户籍，性别等等)。
(2) 发现A的相册是只对好友开放的，不要急，看到地址栏里www.renren.com/后面的数字了吗？那是用户的唯一标识，对A的ID稍微做修改(稍微，就是从这串数字的第二位开始，每次只修改一位)。访问修改后的ID(假设为用户B的ID)所代表的用户首页。如：你要访问的用户A的ID是234164190，将第二位3改为4，修改后的用户B的首页地址是www.renren.com/244164190/profile.同理修改第345位。
(3) 重复(2)直到新得到的用户B的相册是可以访问的。
(4) 进入B的某个相册，地址栏现在的模式应该是:photo.renren.com/(ID)/album-(相册编号)别忘了你要偷看的是不对外开放相册的用户A的相册。现在将地址栏里B的ID改回A的ID。回车。
(5) 神奇的时刻来到了，页面上用户B的名字刷新成了用户A的名字。你还会发现右侧有几个用户A的相册超链接(没错，就是那几个小方块)。
(6)点击小方块，恭喜你打开了A的相册。你可以留言，不管你是否留言，因为你已经登陆了，所以A肯定会发现你访问过他的主页。

这里暴露了两个BUG：
(1) 相册访问没有权限验证的步骤，我觉得如果资源充足，完全可以写个程序暴力猜测相册编号。人人网貌似也没有反爬虫机制吧。
(2) 暴力破解？完全没必要，因为上面的hack过程说明了一个问题：相册的编号似乎跟用户ID有关系，要不然怎么两个相似ID对应同一个相册编号？初步猜测是由ID后两位(后一位？)作为因子生成的九位随机数。


本文纯属虚构，如有雷同纯属巧合。

add----------------------------------
人人网已更新，此漏洞已不存在。

评论

1 楼 Adam289 2013-05-30  

。。。。。。。。。。。。。。。。。。