目录
案例一:越权重置密码
案例二:越权查看收货地址
案例三:越权查看公积金明细
案例四:越权查看个人简历
案例五:未授权注册帐号
案例六:未授权访问后台地址
案例七:未授权导出帐号密码
案例八:未授权下载帐号密码
案例九:未授权访问Redis服务
案例十:匿名访问FTP服务+Web后门上传
案例下载
案例一:越权重置密码
翼龙贷漏洞礼包(敏感信息泄露和密码重置漏洞) https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0124387
安全风险【已修复】:
翼龙贷的找回密码(http://**.**.**.**/page/findpwdEmail.jsp?email=**@**.com)有两个步骤:1、邮箱验证码验证身份;2、重置登录密码。
攻击也是两个步骤:1、使用自己的邮箱验证码进行身份验证;2、重置登录密码时进行抓包,将自己的邮箱改为受害者的邮箱,从而重置受害者的密码。
实际攻击会更复杂些:1、第二步重置受害者密码时,参数除了受害者邮箱还需要受害者帐号id,好在受害者帐号id可在第一步验证身份时拿到;2、第二步重置受害者密码时,在抓包将自己的邮箱改为受害者的邮箱前,需要先对受害者的邮箱执行第一步的发送邮箱验证码操作,才能成功对受害者密码进行重置。
安全建议:
需要重置密码的帐号,应该是完成身份验证的帐号,不应受到用户可控可篡改的其他参数影响。
案例二:越权查看收货地址
聚美优品任意用户收货地址查看(包含用户名、联系电话、详细地址) https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-083201
安全风险【已修复】:
在聚美优品网购,下单后进入支付页面(http://**.**.**.**/i/MobileWap/pay/?batch_trade_number=**&gateway_name=&gateway=AlipayMobileWap&address_id=48218711&logistic_preference=&prefer_delivery_day=)进行信息确认与点击付款,需要确认的信息包括收货地址(姓名、电话、详细住址)等。
该支付页面的参数address_id可进行遍历,从而获取聚美优品中所有用户的收货地址信息。
安全建议:
基于用户cookie查看信息,而不是基于用户可控可篡改的URL参数。
案例三:越权查看公积金明细
武汉住房个人公积金随意查明细 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2013-020375
安全风险【已修复】:
武汉住房公积金页面(http://**.**.**.**/4.asp)的请求参数(bank=XX&wd=XXXX&dwzh=XXXXXXX&xgrzh=XXXXXXXXX&jgrzh=&grzh=XXXXXXXXX&name=XXXXXXXXXXXXXXXXXX&Submit=XXXXXXXXXXXXXXXXXX)中,修改xgrzh参数可以查看其他人的公积金缴存明细。
安全建议:
基于用户cookie查看信息,而不是基于用户可控可篡改的URL参数。
案例四:越权查看个人简历
中国鞋业人才网45w简历泄露 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0146823
安全风险【已修复】:
中国鞋业人才网存在未授权访问漏洞(http://**.**.**.**/manage/talent/cn/infoView.action?talent.id=543095),id取值范围从100000开始,遍历id即可下载所有简历,包含个人详细信息,例如:姓名、电话、出生年月、家庭住址。
安全建议:
基于用户cookie查看信息,而不是基于用户可控可篡改的URL参数。
案例五:未授权注册帐号
金银岛某站配置不当可泄露内部信息 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0126637
安全风险【已修复】:
金银岛的JIRA(http://**.**.**.**:8888/)可以注册帐号,登录后可查看项目进展与分工情况。
安全建议:
企业内部系统禁止注册帐号,应由管理员创建帐号,或与公司的4A、SSO、域控等帐号管理平台进行对接。
案例六:未授权访问后台地址
凡诺企业网站管理系统后台绕过 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2013-043237
安全风险【已修复】:
凡诺企业网站管理系统后台(http://**.**.**.**/admin/main/site_info.asp)无需授权即可访问。
安全建议:
所有后台地址都应在校验cookie等身份凭据后才能访问。
案例七:未授权导出帐号密码
江南科友堡垒机直接获取主机账密/IP/暴漏物理路径 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0135704
安全风险【已修复】:
访问江南科友堡垒机地址(http://**.**.**.**/excel/sso_user_export.php)即可导出堡垒机的明文帐号密码清单(user.xls),而这些账密在数据库中是sha1加密存储的。
安全建议:
所有后台地址都应在校验cookie等身份凭据后才能访问。
案例八:未授权下载帐号密码
博华网龙防火墙系列产品XML数据库文件未授权访问(可登录设备) https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2016-0207791
安全风险【已修复】:
博华网龙防火墙存在未授权访问漏洞(http://**.**.**.**/xml/users.xml),可下载防火墙的明文帐号密码清单(users.xml),可登录防火墙。
安全建议:
所有后台地址都应在校验cookie等身份凭据后才能访问。
案例九:未授权访问Redis服务
263通信某服务未授权访问导致Shell直入大内网(影响数百主机安全) https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2016-0210705
安全风险【已修复】:
263公司的Redis服务(redis://**.**.**.**:6381)开放到互联网且存在未授权访问漏洞,可写入计划任务反弹shell获得服务器控制权限,使用nmap工具探测该服务器(192.168.167.60)C段发现35台服务器。
安全建议:
建议设置仅本机访问redis服务,在/etc/redis.conf中配置:bind 127.0.0.1;
建议在操作系统中用iptables设置访问白名单,使用命令:iptables -A INPUT -s **.**.**.** -p tcp --dport 6379 -j ACCEPT;
建议设置密码认证,在/etc/redis.conf中配置:requirepass ****************;
案例十:匿名访问FTP服务+Web后门上传
中兴能源光伏电站远程监控系统轻松拿下远程登陆 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2016-0169983
安全风险【已修复】:
中兴能源光伏电站的远程监控系统开放FTP服务(21端口)和Web服务(8222端口)。FTP服务允许匿名访问,可上传木马(**.**.**.**/a.aspx)到Web目录下,通过Web服务(**.**.**.**:8222/a.aspx)进行访问,从而拿下服务器控制权限。
安全建议:
禁止FTP匿名访问;
禁止将运维用途的FTP服务开放到互联网。
案例下载
直接放链接如果失效了将无法更新,大家可在公众号后台发送 20240630 获取本文引用案例的PDF文件下载链接。
544
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
