神奇的漏洞

admin 2022年5月8日14:30:23安全文章评论3 views520字阅读1分44秒阅读模式

今天,领导给我打电话,说OA爆发漏洞,要我紧急排查。

经分析,OA采用封装火狐浏览器成OA客户端形式分发给用户,通过exe安装程序安装后双击桌面快捷方式启动自动打开OA界面。

当然,也可以自己使用谷歌浏览器或者火狐浏览器输入网址登录。

问题来了。

前者登录口输入手机号会进行自动匹配,比如输入1会自动显示所有带1的手机号,比如188888888888然后自动填充密码,只需要把密码password属性改成text就可以看到明文。

经过对比,发现只有安装了OA客户端的用户才会出现这个问题。直接通过浏览器打开正常。

问题分析:

通过桌面OA快捷方式打开安装路径,发现安装路径中存在profile文件,文件内包括一些用户数据,比如浏览器环境变量,Cookie等,经分析,采用客户端打开OA会自动调用历史数据,其中key3.db和logins.json两个文件引起了我的注意。当删除任意一个文件,上述漏洞不存在。当两个文件放在一起,就存在漏洞。

确定问题:开发人员在进行OA exe程序打包的时候把一些历史数据甚至用户手机号和密码sqlite数据包打包到exe导致出现本地调用数据库自动查询。

解决方案:删除不必要文件。

神奇的漏洞


原文始发于微信公众号(利刃藏锋):神奇的漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月8日14:30:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  神奇的漏洞 http://cn-sec.com/archives/983838.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: