华为网盘用户发布外链可直接获取uid

漏洞标题: 华为网盘用户发布外链泄漏
相关厂商: 华为技术有限公司
漏洞作者: 冰冻冷咖啡
提交时间: 2012-12-02
公开时间: 2012-12-04
漏洞类型: 内容安全
危害等级: 低
自评Rank: 3
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞详情

披露状态:

2012-12-02: 细节已通知厂商并且等待厂商处理中
2012-12-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:
华为网盘外链可以直接获取uid,构造链接显示用户全部外链,对于一个用户,不能接受自己外链全部泄漏...起码我是这样.如果是BBS用户,外链都被看到,也是不好的...

详细说明:
华为网盘发布外链时用户模版可以自定义"ta还发布过模块",该功能可选,但是就算关闭的情况下,可以自己可以查看该用户uid,自定义链接查看所有外链

也许算不上漏洞,但是对于不想让别人知道自己发布过什么,还是希望华为技术部门修复吧,我心中的万千草泥马开始奔腾了....

漏洞证明:
举个栗子,该用户外链

点击"ta还发布过模块"
链接形式为
?uid=19389785&v=2.7.6a

随便百度个dbank外链

右键查看源码,搜索uid

华为网盘用户发布外链可直接获取uid

得知此人uid为34886803
自定义url
?uid=34886803&v=2.7.6a

华为网盘用户发布外链可直接获取uid

over.

修复方案:
作为用户,你还是加个是否显示外链的选项,然后显示的时候判断用户的选项吧,over

PS:最近华为网盘增加的hao123恶心到爆了。。。作为VIP用户表示受不了,麻烦你们考虑下,OK?