奇虎360某Android在线安全漏洞扫描系统敏感信息泄露

编号94400
Urlhttp://www.wooyun.org/bug.php?action=view&id=94400
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题奇虎360某Android在线安全漏洞扫描系统敏感信息泄露
漏洞类型敏感信息泄露
厂商奇虎360
白帽子路人甲
提交日期2015-01-28 16:04:00
公开日期2015-01-28 16:14:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签敏感信息泄露 错误信息未屏蔽
关注数0
收藏数0
白帽评级
白帽自评rank5
厂商评级
厂商评rank0
漏洞简介
  第一次正式上门
  在餐桌上,丈母娘问我:小杨啊,听嘉嘉说你自己买了房啊
  我:是的,阿姨。
  丈母娘:那不容易啊,现在房价很贵的啊~
  我:为了娶嘉嘉,当然得努力,嘿嘿
  丈母娘:哈哈,你这小伙子不错,阿姨到时候嫁妆也不会亏待你们的,你们结婚新房红木家具阿姨来,还有一部斯柯达。
  我:阿姨客气了,呵呵
  丈母娘:先吃菜,红烧鸡腿,吃吃看阿姨味道烧进去了吗?
  听到房产证上没嘉嘉名字,个搜又把鸡腿夹回去了
漏洞细节

http://appscan.360.cn/这个站使用django开发
但是打开了debug模式
可以暴露很多信息
比如
http://appscan.360.cn/xxx/
可以列出所有的rewrite规则

1.png


比如
http://appscan.360.cn/icon/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx/
可以看到源码、环境变量、局部变量、http only的cookie

2.png


3.png


4.png


5.png


6.png

POC

http://appscan.360.cn/这个站使用django开发
但是打开了debug模式
可以暴露很多信息
比如
http://appscan.360.cn/xxx/
可以列出所有的rewrite规则

1.png


比如
http://appscan.360.cn/icon/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx/
可以看到源码、环境变量、局部变量、http only的cookie

2.png


3.png


4.png


5.png


6.png


7.png

修复方案

把debug模式关掉

状态信息 2015-01-28: 细节已通知厂商并且等待厂商处理中
2015-01-28: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复您好,该业务上线时已收到多个渠道报告此问题,该问题是业务上线开启了debug模式导致,收到反馈后我们立即关闭了debug模式,但同时补天平台也收到了重复的漏洞提交报告,现在乌云再次收到重复报告,所以我们忽略了该问题。漏洞Rank:6 (WooYun评价)
回应信息危害等级:无影响厂商忽略忽略时间:2015-01-28 16:14
Showing 1-6 of 6 items.
评论内容评论人点赞数评论时间

买个便宜垃圾房 丈母娘也是垃圾

keke02015-01-29 16:04:00

数字这么干,,,

black4yl02015-01-28 20:16:00

@疯狗 漂亮 点赞

Blackeagle02015-01-28 18:34:00

忽略的才给乌云233333

Holiday002015-01-28 16:36:00

不哭,乌云君给补rank和wb

疯狗02015-01-28 16:28:00

django开启debug,360这个态度不太好啊。

Rona02015-01-28 16:27:00