当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-087191

漏洞标题:太平洋保险寿险行销支持系统敏感信息泄漏入手的检测

相关厂商:太平洋保险

漏洞作者: 老周

提交时间:2014-12-15 10:41

修复时间:2015-01-29 10:42

公开时间:2015-01-29 10:42

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-15: 细节已通知厂商并且等待厂商处理中
2014-12-17: 厂商已经确认,细节仅向厂商公开
2014-12-27: 细节向核心白帽子及相关领域专家公开
2015-01-06: 细节向普通白帽子公开
2015-01-16: 细节向实习白帽子公开
2015-01-29: 细节向公众公开

简要描述:

对该系统的检测主要从敏感信息泄漏入手,发现登录账户以及密码规则信息,登录系统进行的检测,主要发现问题如下:
1.敏感信息泄漏
2.任意文件下载
3.越权操作
4.储存型跨站

详细说明:

1.敏感信息泄漏
在入手检测时,发现系统在登录过程中并没有对用户名以及密码错误信息进行有针对性的提示,从而无法通过系统提示来判断用户名或密码的输入是否正确。因此,只能通过其他方法进行尝试。
首先,在对系统帮助文件的查看过程中,发现有这样的提示。

登录帮助.jpg


在帮助文件的提示下,得知系统登录用户名为用户的工号,密码也是有规则的,下来就是收集员工相关信息的过程。
在对网站系统的信息收集过程中,发现有这样的功能

人员信息收集1.jpg


“营销员验真”功能,该功能可以查看集团中营销人员的相关信息,通过对功能的分析,发现能够收集到的信息远远要多于页面中展示的内容。

人员信息收集.jpg


在返回的数据包中,包括了员工的很多信息,如出生日期、家庭住址、入职时间、身份证号码等等。
得到这些信息之后,加之帮助文件中的内容,提示密码信息为88888888或者P+身份证后7位,可以对其中的用户进行登录尝试。通过测试,得到很多员工的登录信息,本次测试只使用了两个账户。

登录成功.jpg


2.任意文件下载
在对系统的下载功能检测过程中,发现该功能通过相对路径的方式下载系统中的文件,而数据包中的相对路径可以更改,这样,用户可以下载系统中的指定文件,但是由于权限的限制,下载权限只限制在根目录以下。

任意文件下载_读取配置文件.jpg


3.越权操作
系统中的越权操作有很多,这里就提一下任意用户手机号码修改的问题。在用户信息查看功能中,用户无法对其中的信息进行修改,但是在对源文件的查看中,发现,用户手机号码修改功能是被隐藏掉了。

手机号修改1.jpg


通过删除源文件中的隐藏标签,可以激活手机号码修改功能。

手机号修改.jpg


在修改手机号码过程中,被修改目标的身份标识仅仅是依靠数据包中的用户ID,当用户修改该ID号时,用户就能对指定ID用户进行手机号码的更改。
修改前信息

修改前手机号.jpg


数据提交过程

手机号修改2.jpg


修改后信息

修改后手机号.jpg


4.储存型跨站
根据对系统的检测,储存型跨站可能会出现在留言以及其他可保存数据的功能中,出于不影响系统原始数据的原因,并未对业务相关的提交过程以及留言功能(留言信息无法删除)进行检测,本次储存型跨站检测点依然是刚才的手机号码修改功能。
很简单,如下图

手机号修改_储存型跨站2.jpg


手机号修改_储存型跨站.jpg


手机号修改_储存型跨站1.jpg


漏洞证明:

1.敏感信息泄漏

登录帮助.jpg


人员信息收集.jpg


登录成功.jpg


2.任意文件下载

任意文件下载_读取配置文件.jpg


3.越权操作
修改前信息

修改前手机号.jpg


数据提交过程

手机号修改2.jpg


修改后信息

修改后手机号.jpg


4.储存型跨站

手机号修改_储存型跨站.jpg


修复方案:

1.控制敏感信息
2.优化字符过滤
3.修改下载功能

版权声明:转载请注明来源 老周@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-12-17 09:26

厂商回复:

感谢指正,已修复

最新状态:

暂无