catalog
1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考
1. 漏洞描述
对用户输入的cookie,判断免登的逻辑中存在漏洞,导致黑客可以直接通过cookie伪造登录任意用户
Relevant Link:
http://sebug.net/vuldb/ssvid-19575
2. 漏洞触发条件
cookie注入
3. 漏洞影响范围
4. 漏洞代码分析
/includes/init.php
/* session 不存在,检查 cookie */ if (!emptyempty($_COOKIE['ECS']['user_id']) && !emptyempty($_COOKIE['ECS']['password'])) { // 找到了cookie, 验证cookie信息 $sql = 'SELECT user_id, user_name, password ' . ' FROM ' .$ecs->table('users') . " WHERE user_id = '" . intval($_COOKIE['ECS']['user_id']) . "'"; $row = $db->GetRow($sql);
从代码中可以看出, 当SESSION中不存在用户登录信息的时候, 会查看COOKIE中的$_COOKIE['ECS']['user_id']和$_COOKIE['ECS']['password']两个变量。如果 两个变量都不为空,则查询user表中user_id为$_COOKIE['ECS']['user_id']的用户, 如果该用户存在, 就直接置为登录状态。而对$_COOKIE['ECS']['password']在整个判断过程中并未进行使用
5. 防御方法
/includes/init.php
// session 不存在,检查cookie if (!empty($_COOKIE['ECS']['user_id']) && !empty($_COOKIE['ECS']['password'])) { // 找到了cookie, 验证cookie信息 /* 同时验证$_COOKIE['ECS']['user_id']、$_COOKIE['ECS']['password'] */ $sql = 'SELECT user_id, user_name, password ' . ' FROM ' .$ecs->table('users') . " WHERE user_id = '" . intval($_COOKIE['ECS']['user_id']) . "' AND password = '" .$_COOKIE['ECS']['password']. "'"; /* */ $row = $db->GetRow($sql);
6. 攻防思考
Copyright (c) 2015 LittleHann All rights reserved