2014-04-07:细节已通知厂商并且等待厂商处理中
2014-04-07:厂商已经确认,细节仅向厂商公开
2014-04-17:细节向核心白帽子及相关领域专家公开
2014-04-27:细节向普通白帽子公开
2014-05-07:细节向实习白帽子公开
2014-05-22:细节向公众公开
乐视TV android app有明显的漏洞,随意获取到用户帐户信息
详细说明:与上次提交的漏洞一样,可以通过http请求传入用户昵称获取到用户id,总点数,充值点,创建时间等信息。结合上个漏洞通过id获取用户详细信息的漏洞,应该就拿到用户的几乎全部数据了吧?
乐视TV不给俺送个礼物,奖金么?
通过用户昵称获取了用户的充值信息,用户信息,帐户信息,充值信息加一块是不是可以进行人群消费水平划分了?感觉很恐怖
url:http://dynamic.app.m.letv.com/android/dynamic.php?starttime=&endtime=&deptid=&productid=&username=123456&act=queryrecord&ctl=index&day=0&mod=passport&pid=&pcode=010110329&query=02&version=5.0
其中username是可以随便填写的
将query参数修改为01,没想到看到了充值记录
有图为证:
修复方案:
说一下这两个bug怎么发现的吧,过程其实很简单,乐视TV的手机app在5.0或者之前版本(前几个版本没测试)存在这个问题,一开始进去会强制升级,可能你们已经意识到这个问题了吧,其实最新版本app发现你们都是用tk去获取用户信息的,加密了。但是之前的api接口没有废掉?虽然5.0app有强制升级,但是我从app开始运行就瞅准用户中心那个点一直点下去,跳过了你们的升级提示,直接登录了。后面的就很简单了,抓包开始,一串http请求全下来了,图片为证:
小白阶段,后面的ssotk是否安全这个我暂时还没能力去校验。
建议:先废掉5.0版本调用的http接口,反正都强制升级了,今天看见那个用户id获取数据接口居然还能访问?
危害等级:高
漏洞Rank:19
确认时间:2014-04-07 14:51
厂商回复:感谢挖掘,马上修复
最新状态:暂无