[典型漏洞分享]业务逻辑导致的隐私泄露2
2014-12-31 09:24
615 查看
视频广场分享在删除分享或删除设备时未立即停止断流,可导致用户隐私泄漏【高】
问题描述:
用户在删除分享或删除设备时,查看分享的视频的用户如果不刷新页面,那么视频流不会停止,即还可以继续观看该被取消分享或删除的视频。测试步骤:
1、 使用账户A为设备A创建视频广场分享。注:设备A是账户A的设备。2、 使用账户B登录并观看设备A的分享视频。
3、 此时账户A删除设备A的视频广场分享或者解除账户A和设备A的绑定关系,账户B仍然可以在当前的分享页面上观看设备A的视频。
4、 账户B重新刷新视频广场分享页面,此刻分享才会断开。
问题扩展:
用户把视频分享到视频广场代表用户此时不会顾及隐私问题,而当用户取消视频广场分享时,应该立马切换保护用户隐私的状态,而未及时断流的漏洞可导致用户隐私泄漏。解决建议:
1、删除分享或删除设备时强行掐断视频流。
相关文章推荐
- [典型漏洞分享]业务逻辑导致的隐私泄露1
- [典型漏洞分享]exported Android content provider引发的隐私泄露问题
- [典型漏洞分享]横向越权漏洞导致用户隐私信息泄漏【高】
- [典型漏洞分享]YS忘记密码机制设计存在缺陷,导致任意用户口令均可被修改【高】
- [典型漏洞分享]一个典型的软件漏洞--memcpy导致的缓冲区溢出
- [典型漏洞分享]上传导致的应用层DOS攻击
- 新浪通行证在线申诉找回密码业务逻辑错误导致严重安全漏洞
- 人人网站内信安全漏洞导致用户隐私泄露
- [典型漏洞分享]功能逻辑缺陷,不需要旧手机号码即可绑定新手机号码【高】
- 分享两个常见的业务逻辑漏洞
- 乌云称MIUI漏洞导致小米用户短信等隐私泄露
- [典型漏洞分享]结合YS业务分析使用oauth协议的风险
- [典型漏洞分享]多线程同步问题导致越过程序限制
- [典型漏洞分享]Insert型SQL注入的发现和利用,篡改订单金额
- Java开发(1)JavaWeb-过滤器(Filter过滤业务逻辑处理不当)导致request数据处理两次(重复提交)
- TP-LINK漏洞门被曝高危 可致用户隐私泄露
- [典型漏洞分享]YS VTM模块存在格式化字符串漏洞,可导致VTM进程异常退出【高危】
- 业务逻辑漏洞
- 谷歌浏览器曝安全漏洞 被指最易泄露隐私
- 橙色预警:索引空间泄露导致业务中断