74cms(20141112)一处越权

2015年8月10日23:44:16评论249 views字数 238阅读0分47秒阅读模式

摘要

2014-11-14：细节已通知厂商并且等待厂商处理中
2014-11-15：厂商已经确认，细节仅向厂商公开
2014-11-18：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2015-01-09：细节向核心白帽子及相关领域专家公开
2015-01-19：细节向普通白帽子公开
2015-01-29：细节向实习白帽子公开
2015-02-12：细节向公众公开

漏洞概要关注数(4) 关注此漏洞

缺陷编号： WooYun-2014-83093

漏洞标题： 74cms(20141112)一处越权

漏洞作者： HackBraid

提交时间： 2014-11-14 15:32

公开时间： 2015-02-12 15:34

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank： 10

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：设计缺陷/边界绕过越权操作设计不当导致攻击界面扩大

3人收藏

漏洞详情

披露状态：

简要描述：

一处越权可操作别人简历

详细说明：

这个漏洞后来想了下是高危，为什么呢？

可以将任意账户的简历（resume_id）发送给任意公司发布的职位（job_id）,造成混乱。

wap_apply.php:

code 区域

elseif ($act == 'apply_add')
 {
  $_POST=array_map("utf8_to_gbk", $_POST);
  $sql="select * from ".table("personal_jobs_apply")." where resume_id=".intval($_POST["resume_id"])." and jobs_id=".intval($_POST["jobs_id"])."";
  $row=$db->getone($sql);// 上面的sql语句直接将post过来的jobid和resumeid带入查询
 ... ...
 }

漏洞证明：

首先注册三个账户：test，testbbb[这两个是个人账户]和Admin111[这个是公司账户]：

其中test和testbbb都有自己的简历：

Admin111公司发布了两个职位，然后testbbb来申请第二个职位，如下：

抓包修改参数，当然jobid也可以任意改：

Admin111公司发现自己职位被申请，结果就是test账户的简历被越权发过来了：

修复方案：

session[uid]

版权声明：转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-11-15 15:23

厂商回复：

感谢反馈！

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞概要 关注数(4) 关注此漏洞