神奇的漏洞

今天，领导给我打电话，说OA爆发漏洞，要我紧急排查。

经分析，OA采用封装火狐浏览器成OA客户端形式分发给用户，通过exe安装程序安装后双击桌面快捷方式启动自动打开OA界面。

当然，也可以自己使用谷歌浏览器或者火狐浏览器输入网址登录。

问题来了。

前者登录口输入手机号会进行自动匹配，比如输入1会自动显示所有带1的手机号，比如188888888888然后自动填充密码，只需要把密码password属性改成text就可以看到明文。

经过对比，发现只有安装了OA客户端的用户才会出现这个问题。直接通过浏览器打开正常。

问题分析：

通过桌面OA快捷方式打开安装路径，发现安装路径中存在profile文件，文件内包括一些用户数据，比如浏览器环境变量，Cookie等，经分析，采用客户端打开OA会自动调用历史数据，其中key3.db和logins.json两个文件引起了我的注意。当删除任意一个文件，上述漏洞不存在。当两个文件放在一起，就存在漏洞。

确定问题：开发人员在进行OA exe程序打包的时候把一些历史数据甚至用户手机号和密码sqlite数据包打包到exe导致出现本地调用数据库自动查询。

解决方案：删除不必要文件。

​

原文始发于微信公众号（利刃藏锋）：神奇的漏洞