漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-093319
漏洞标题:360漏洞检测平台可能被利用并作为新的攻击思路
相关厂商:奇虎360
漏洞作者: pw0
提交时间:2015-01-22 15:53
修复时间:2015-03-08 15:54
公开时间:2015-03-08 15:54
漏洞类型:可被利用发掘思路
危害等级:低
自评Rank:1
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-22: 细节已通知厂商并且等待厂商处理中
2015-01-22: 厂商已经确认,细节仅向厂商公开
2015-02-01: 细节向核心白帽子及相关领域专家公开
2015-02-11: 细节向普通白帽子公开
2015-02-21: 细节向实习白帽子公开
2015-03-08: 细节向公众公开
简要描述:
人人都可以进行的搜索和操作可能导致低权限黑客获取入侵新思路后台漏洞利用最大化
详细说明:
这个漏洞并不是传统意义的网站漏洞,它几乎不需要任何工具,位置也一点不隐蔽,但可以为小白的入侵提供很好的思路,这也是360的不严谨了
漏洞地址:http://webscan.360.cn/
没错就是主站
最开始是在试图搜索某站漏洞时,发现这里提示站点有漏洞,我心想还有这等好事直接碰上了?仔细一看原来是给网站的管理看的,于是手贱点了验证。
于是乎我发现一切都是那么简单,只要拿到后台就全部洞洞都知道了!任何一个没有被认领的网站都可能全部沦陷!于是乎,不会用工具的小白获取了新的攻击思路,笑了!
漏洞证明:
首先,我们要有一个网站的后台……
不要笑我像你们这样的大神拿个后台不是轻轻松松,盲注拉弱口令拉你是否在犯愁自己手里有一大堆的后台但没法进一步利用(发到乌云赚rank)?你是否犯愁不知道某个网站的漏洞都有哪些?扫描神器太费劲想方便点看漏洞?
啥都不说了,就用这个洞洞,上次想用这个骗个验证码没通过审核说我危害太低联系不上厂商。
介绍背景:盲注得来的后台,不知道干啥用了,乌云不收
仔细看看这个后台,的确没啥用,是一个组织的宣传页面,管理员权限也不高顶多改改标题啥的,用户也没啥信息……等等,可以改改标题?站长联系不上?
嘿嘿,一个龌龊的思想油然而生
这里拿一个别的网站作为示例
其实收录的大部分网站都是这样的,无人认领,漏洞极多!
我们来分析一下这四种验证方式,代码是推荐的,然后是在一定位置插页面和人工申请。话说那个人工申请是什么鬼,只要通过微博实名认证就搞定一个网站?啥都不说了,这个没尝试但应该成功率也很高。再看看插入页面,这个要拿了shell再说,略费劲先不考虑。
代码里面图片和文字显然文字很简单,于是我顺手就在主页插了验证文字,然后再改回去也不碍事嘛
然后你要有一个360账号,注册一个即可
恭喜,你已经成为了站长!话说这种程度的权限只能算管理员吧?
赶紧扫描一下漏洞,这后台才看着清楚!
大表一张,各种漏洞看得倍儿清楚!漏洞种类和位置,xss?哈哈哈终于知道怎么利用这个站了!后续故事暂且不提,我顺手帮原站长把洞补上了
仔细审视这个问题,显然是一种权限的不对等,通过较低权限验证获得较高的位置,并且了解网站漏洞的分布甚至种类!这显然为我们提供了一种新思路,其实是一种投机取巧的思路。仔细研究发现验证代码只要出现在网站主页即可,也就是说,在很多管理员审核不严的地方也有可能被投机取巧狐假虎威成为站长。
修复方案:
这个漏洞其实价值和危害都不高,但希望能过,我可怜的邀请码!前面仅有的几个洞洞不是联系不上厂商就是被前辈挖到过,各种悲催啊!这次就1rank,不给也行,但真心求个码!
好了谈谈修复,我思考了很长时间关于这么一个大网站如何修复这么个小问题,得到的答案很简单,取消用文字代码验证。
版权声明:转载请注明来源 pw0@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2015-01-22 19:05
厂商回复:
感谢您的反馈,已通知相关业务修复。
最新状态:
暂无