用一个低级的漏洞向豌豆荚用户手机后台静默推送并安装任意应用

豌豆荚非常贴心的提供了云推送功能

只要用户在手机客户端登录并允许云推送，那么网页上轻轻一点，应用就自动开始在手机上下载，但是云推送这么重要的功能却并没有做CSRF防护，给豌豆荚用户带来了风险。

我们点击云推送按钮，同时抓包，发现是个POST请求，但是呆萌的程序员POST和GET不分，导致可以直接用GET发起请求，比如推送“搜狗拼音输入法”的请求如下：

http://www.wandoujia.com/offlinepush/push?did=aea63ec6e44f4855b51e06e7ad290648f53c944a&title=%E6%90%9C%E7%8B%97%E6%89%8B%E6%9C%BA%E8%BE%93%E5%85%A5%E6%B3%95&url=http://apps.wandoujia.com/apps/com.sohu.inputmethod.sogou/download?pos=www/detail&versioncode=322&packagename=com.sohu.inputmethod.sogou

发起这个请求以后，一方面手机如果在联网锁屏状态下就会自动开始下载对应程序，另一方面个人中心也会出现推送过个程序的记录

不一会儿提示下载成功了：

而豌豆荚提供的后台静默安装的功能，如果用户勾选，可以直接导致危害升级：

而此漏洞的攻击成本非常的小，直接用[IMG][/IMG]标签引入豌豆荚论坛就能实施大范围攻击

访问后浏览器显示：

说明请求成功了，我使用多个账号进行尝试，均显示成功

漏洞危害：

1.在用户不知情的情况下推送并可以后台静默安装任意应用

2.由于这个请求可以无限次发起，如果一个用户多次在不知情的情况下发起这个请求（比如在豌豆荚论坛的多个帖子内植入这个请求）可以进行骚扰（我自己就被十几个搜狗的下载提示搞的晕头转向）

Ps.给每个豌豆荚用户装个大姨吗可好？

CSRF防御的准则：重点功能一定要做CSRF防御，POST和GET请求区分清楚，加TOKEN，而且这个TOEK必须随机，要不然就算是一个看起来很“低级”的漏洞，也可以造成严重的影响

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-08-08 11:40

厂商回复：

确认漏洞存在，感谢『我是小号』对豌豆荚安全的帮助。在CSRF漏洞的防御方面我们做得的确很不好，最近也正在着手从框架层面改进。

最新状态：

2014-08-09：已修复。

1. 2014-08-08 12:08 | 雅柏菲卡 ( 普通白帽子 | Rank:1299 漏洞数:259 | 雙魚座聖鬥士雅柏菲卡)

   1

   马克

   1# 回复此人

2. 2014-08-09 15:47 | 1fn0 ( 路人 | Rank:27 漏洞数:9 | 我是运维 不要开除我)

   0

   安装大姨妈中...

   2# 回复此人

3. 2014-08-09 17:06 | CoffeeSafe ( 普通白帽子 | Rank:142 漏洞数:37 )

   0

   一天，洞主的大姨妈来了，洞主怪叫一声音。。。楼下继续。。。。

   3# 回复此人

4. 2014-08-09 17:07 | 我是小号 ( 普通白帽子 | Rank:366 漏洞数:58 | Martin)

   0

   @CoffeeSafe 一天，洞主的大姨妈来了，洞主怪叫一声音。。。楼下继续。。。。

   4# 回复此人

5. 2014-08-12 00:53 | 兜帽 ( 路人 | Rank:3 漏洞数:3 | - -)

   0

   一天，洞主的大姨妈来了，洞主怪叫一声音。。。楼下继续。。。。

   5# 回复此人

6. 2014-08-15 14:10 | 小小泥娃 ( 路人 | Rank:20 漏洞数:4 | 高二)

   0

   一天，洞主的大姨妈来了，洞主怪叫一声音。。。楼下继续。。。。

   6# 回复此人

7. 2014-08-18 00:59 | aNsSe ( 路人 | Rank:0 漏洞数:2 | 独自一人走天下)

   0

   默默的路过，看到楼上在吹牛逼，我顿时笑尿了，尿了楼下一头，嘎嘎

   7# 回复此人