12306某站多个问题(绕过添加数据/XSS/设计缺陷泄露密码/大数据查看)

编号174917
Urlhttp://www.wooyun.org/bug.php?action=view&id=174917
漏洞状态厂商已经修复
漏洞标题12306某站多个问题(绕过添加数据/XSS/设计缺陷泄露密码/大数据查看)
漏洞类型设计缺陷/逻辑错误
厂商12306
白帽子Hxai11
提交日期2016-02-05 12:46:00
公开日期2016-02-23 15:10:00
修复时间2016-02-23 15:10:00
确认时间2016-02-05 00:00:00
Confirm Spend0
漏洞标签设计缺陷/边界绕过 敏感接口缺乏校验 逻辑错误 认证设计不合理
关注数0
收藏数0
白帽评级
白帽自评rank13
厂商评级
厂商评rank5
漏洞简介
rt
漏洞细节

问题站点:http://ad.12306.cn/
首先看绕过限制添加数据
当我们添加应用的时候显示被不行,我们查看源码得知,是前端限制,可绕过

QQ图片20160205120459.png


QQ图片20160205120554.png


QQ图片20160205120635.png


地址出来了,我们去添加试试

QQ图片20160205120746.png


这里应用描述这里有xss,虽然有长度限制可以绕过
就用常规的<script>来测试,毫无过滤

QQ图片20160205120900.png


QQ图片20160205120924.png


同理,其他添加页面都能够添加
查询出来的

var dePwd = $.md5("123456");
function toPlacementjsp(){
if('' == dePwd){
alert("请您修改默认密码");
window.location.href ="/web/admin/developer/updatePassword/updatePassword.jsp";
}else{
if("1" == '2'){
window.location.href = "/web/admin/developer/adplace/adplaceAdd.jsp";
}else{
alert("账户尚未审核通过");
return false;
}
}
}
function toApp(){
if('' == dePwd){
alert("请您修改默认密码");
window.location.href ="/web/admin/developer/updatePassword/updatePassword.jsp";
}else{
if("1" == '2'){
window.location.href = "/web/admin/developer/application/addApp.jsp";
}else{
alert("账户尚未审核通过");
return false;
}
}
}

function toAudit1(){
if('' == dePwd){
alert("请您修改默认密码");
window.location.href ="/web/admin/developer/updatePassword/updatePassword.jsp";
}else{
if("1" == '2'){
window.location.href = "/web/admin/developer/adplace/auditList.jsp";
}else{
alert("账户尚未审核通过");
return false;
}
}
}


再来就是设计缺陷可以泄露密码

QQ图片20160205121149.png


登录进来后,查看源代码,这里有一个判断,如果你的密码是123456,就提示你修改密码,但是,源码直接读取了数据库里的pass字段,放在password里,导致泄露密码,如果配合前面xss,可想危害
再来就是大数据查看,当我们退回admin目录看看

QQ图片20160205121750.png


数据这么巨大,明显不是我们的,估计应该是网站实时的广告数据
看看过去30天的数据,更吓人

QQ图片20160205121850.png

POC

QQ图片20160205121850.png

修复方案

限制严格点

状态信息 2016-02-05: 细节已通知厂商并且等待厂商处理中
2016-02-05: 厂商已经确认,细节仅向厂商公开
2016-02-15: 细节向核心白帽子及相关领域专家公开
2016-02-23: 厂商已经修复漏洞并主动公开,细节向公众公开
厂商回复正在修改,谢谢!
回应信息危害等级:低漏洞Rank:5 确认时间:2016-02-05 15:39
Showing 1-3 of 3 items.
评论内容评论人点赞数评论时间

厂商回应:危害等级:低漏洞Rank:1确认时间:2016-02-05 15:07厂商回复:开发人员自己的行为,已通知发开人员加班整改。

随风的风02016-02-05 13:47:00

开发人员自己的行为,已通知发开人员加班整改。

暴走02016-02-05 13:24:00

欢迎来到12306专场......

Q1NG02016-02-05 12:49:00