一款“仿阿里巴巴B2B电子商务网上贸易平台”的重大漏洞

作者:vkvi 来源:ITPOW(原创) 日期:2008-12-8

网上有很多类似的平台,我就见过一款,经研究发现,存在重要漏洞,并且经过试验已经利用该漏洞以管理员身份进入后台。

漏洞描述

该系统在用户登录成功后,把用户名、密码、用户名密码的组合(字符串连接)存入 cookie 中(安全的做法是存入 session 中)。

判断是否登录时从 cookie 取用户名、密码的值,然后组合起来看看和 cookie 中用户名密码组合的值是否相同,若相同则认为是登录。

判断管理员权限时,从 cookie 取用户名,然后再根据该用户名从数据库中取用户的权限。此处数据库查询有注入漏洞

漏洞攻击

我首先随便起一个用户名、一个密码。然后在自己的服务器上做一个文件,该文件写三个 cookie:用户名、密码、用户名密码组合,并且我把 cookie 的有效期设为一天甚至更长。

我更改客户端 hosts 文件,把攻击对象网站的域名指向我的服务器。此时通过域名访问我事先做好的文件,cookie 就留在客户端了。

我再在 hosts 中把域名指向删除,重新开启浏览器,访问该域名就是我们的攻击对象了,由于写 cookie 时使用的域名和现在访问的域名相同,所以被攻击的网站是认可我刚才写的 cookie 的。

根据漏洞描述,此时会认定我是登录了的。如果我把用户名猜对了,我就相当于以某个用户的身份登录了,即使没办法猜对也没关系,因为上面提到了,这里还存在注入漏洞……

相关阅读

相关文章