当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-057736

漏洞标题:世界大学城一处越权漏洞

相关厂商:世界大学城

漏洞作者: 芙兰朵露斯卡雷特

提交时间:2014-04-22 12:38

修复时间:2014-06-06 12:38

公开时间:2014-06-06 12:38

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:8

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-22: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-06-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

影响到世界大学城全站,大量的学校站点受到影响。。。说多了就漏了。。不说了。。求邀请码QAQ

详细说明:

去表哥的学校转了转。。无聊挖出来的
可越权直接删除评论。
因为没有条件也懒得去测试删除文章的权限了,不过估计有相同的问题
(新手第一次大牛不要喷我...)
首先注册账号发了一个评论,截到:

POST /Ajax/Ajax_Comment.aspx HTTP/1.1
Host: www.worlduc.com
POSTDATA: op=SubmitBlogComment&bid=22435299&content=testmsg


然后ajax会重载帖子评论,在重载的数据里面可以得到评论的id,比如:

op=BindBlogComment&bid=22435299&page=1&tid=0&type=0
得到
id='leaveword3688221'


然后删除自己的评论得到:

op=DeleteBlogComment&id=3688221&bid=22435299


然后喜闻乐见的发包(不需要cookie,也不需要UA)

$_0A4ER%M7J6)PVB4_T4~3H.jpg


(不要吐槽易语言。。其实写点小软件还是很方便的)
网站返回一个0
然后评论就被删掉了
原因:
对于用户提交的数据过于信任,没有在后端做合法性检测

漏洞证明:

http://www.worlduc.com/e/blog.aspx?bid=22435299
在这里测试的,如果有后台的话不妨查一查日志

修复方案:

加入UA和cookie的检查

版权声明:转载请注明来源 芙兰朵露斯卡雷特@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝