漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-04324
漏洞标题:蚂蜂窝手机应用背后的HTTP API接口存在SQL注入漏洞
相关厂商:蚂蜂窝
漏洞作者: horseluke
提交时间:2012-02-08 15:35
修复时间:2012-03-24 15:36
公开时间:2012-03-24 15:36
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:8
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-02-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-03-24: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
蚂蜂窝手机应用背后的HTTP API接口存在SQL注入漏洞。
同时在这里,非常严肃非常严肃地提醒所有手机应用的开发者,在开发对应的与服务器通讯的API接口时,不要认为加密数据传输就能安全大吉、对参数不加验证就使用!
详细说明:
蚂蜂窝有几个手机应用,其中之一为旅行家游记。
通过反编译apk,发现其与服务器的HTTP API通讯接口:
http://www.mafengwo.cn/mobile/travelnotes/gettravels.php
虽然通讯过程采取了加密数据传输,但很容易模拟;其中通讯参数travels_id未经验证即进入SQL查询,导致SQL注入产生。
漏洞证明:
1、POC:
travels_id为“778079 and 1=2 union select 0,char(97,98,97,98,97,97,97,98,98,98,97,99,97),0,0,0,0,0,0,0,0,0,0--”(不含双引号)时的URL:
返回:
2、证明注入问题存在证据:表travelguide_book含如下列:
id,p_mddid,mddid,name,p_mdd_name,mdd_name,icon,icon_big,ver,type,fee,product_id,file,size,password,publish,download,ob,ctime,lasttime
修复方案:
检查所有API接口,是否存在未检查参数等(在普通页面已执行但API层未执行的安全措施)的漏洞。
其余建议见“问题描述”。
另外给数个漏洞外的建议:
(1)请关闭服务器的错误显示
(2)请尽快升级用户系统,原因和CSDN历史问题相似
版权声明:转载请注明来源 horseluke@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:8 (WooYun评价)