[公开漏洞]鲜果网随机跳转任意用户利用其可获取大量用户鲜果隐私数据

鲜果网随机跳转任意用户利用其可获取大量用户鲜果隐私数据 相关厂商： 鲜果网 漏洞作者：木头影子 提交时间：2014-05-22 22:04 公开时间：2014-07-06 22:05 漏洞类型：设计缺陷/逻辑错误 危害等级：高 自评Rank：15 漏洞状态： 厂商已经确认 漏洞来源：http://www.wooyun.org Tags标签： 隐私 鲜果 任意用户 漏洞详情 披露状态：

2014-05-22：细节已通知厂商并且等待厂商处理中
2014-05-22：厂商已经确认，细节仅向厂商公开
2014-06-01：细节向核心白帽子及相关领域专家公开
2014-06-11：细节向普通白帽子公开
2014-06-21：细节向实习白帽子公开
2014-07-06：细节向公众公开

简要描述：

鲜果网随机跳转任意用户，利用其可获取大量用户鲜果隐私数据。

详细说明：

鲜果登录后如下面第一张图显示，此时登录后非本人账户，旁边订阅的也非本人的，

刷新也不会正常切换到本人账户，点其他页面，会随机显示鲜果的其它用户，邮箱，订阅

的网站，你喜欢的网址，网页都可以被掌握，用户隐私暴露。

帐号还要打码啊？

漏洞证明：

修复方案：

尽快修复后台逻辑故障，不攻已经自破了。

版权声明：转载请注明来源 木头影子@乌云 漏洞回应 厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-05-22 22:38

厂商回复：

感谢@路人甲, 我们尽快处理

最新状态：

2014-05-23：感谢 木头影子