漏洞概要
关注数(24)
关注此漏洞
漏洞标题:神器而已之分销平台17处通用注入(大量订单信息泄漏/大量资金可提现/)
提交时间:2015-11-23 12:37
修复时间:2016-01-11 15:32
公开时间:2016-01-11 15:32
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-11-23: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-11: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
双11了,来一发吧.颤抖吧少年
神器为: http://zone.wooyun.org/content/21289
详细说明:
看到小伙伴一个漏洞 : WooYun: 驴妈妈旅游网某站SQL注入(DBA权限/20个库)
然后这个漏洞: WooYun: 大量旅游平台爆破(大量金额可提现/订单数据泄漏/大量成功案例)
查看一下这些平台的/m目录
都有这个手机登陆的页面,然后登陆,发现账号和密码是通用的.
发现是可以登陆的.
那么记下来祭出大杀器 大杀器呢 与猪猪侠的平台相似
详情请看 http://zone.wooyun.org/content/21289
自动生成sqlmap语句,直接放到sqlmap里执行
看结果
比如这种旅游平台的话,数据量是非常大的
还是很多旅游平台都在用
查看一些用户名密码
从这个链接可以知道这些都是可以 提现,有银行卡,或者支付宝信息
所以呢,来查看一下用户
然后贴几条sqlmap语句
具体链接如下: 这里去除了cookie , 测试时加上cookie就能注入了
漏洞证明:
受影响链接
修复方案:
使用参数检查的方式,拦截带有SQL语法的参数传入应用程序
使用预编译的处理方式处理拼接了用户参数的SQL语句
在参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化
在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码
定期审计数据库执行日志,查看是否存在应用程序正常逻辑之外的SQL语句执行
版权声明:转载请注明来源 珈蓝夜宇@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:20 (WooYun评价)