Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2022-00383
- 發信 Vendor: 希望創造事業股份有限公司
- Title: Mr.Wish 鮮果茶玩家 Android APP API 端點存在 SQL Injection
- Introduction: SQL Injection (Blind-Error-Boolean)
處理狀態
目前狀態
公開
Last Update : 2022/06/29
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2022/06/04 10:21:09 : 新提交 (由 d0gkiller87 更新此狀態)
- 2022/06/04 19:29:03 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/06/06 16:38:24 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/06/06 16:38:24 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/06/06 16:38:24 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/06/10 16:14:34 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/06/10 16:14:34 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/06/10 16:14:34 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/06/23 19:45:12 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/06/24 15:47:53 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/06/25 10:47:45 : 確認已修補 (由 d0gkiller87 更新此狀態)
- 2022/06/29 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2022-00383
- 通報者:vungsung (d0gkiller87)
- 風險:高
- 類型:資料庫注入攻擊 (SQL Injection)
參考資料
攻擊者可利用該漏洞取得後端資料庫權限及完整資料(包含大量使用者個資或敏感性資料),同時也有機會對資料進行破壞或修改。
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://app.mr-wish.com/app/game.php
敘述
注入點
https://app.mr-wish.com/app/game.php 的 CardNO 參數會被 (猜測) 拼接至 SQL SELECT 查詢的 WHERE 語句中。
發現方式
於 Mr.Wish Android APP 程式碼中可找到數個 endpoint。
Exploit
儘管弱點環境存在一些條件限制,攻擊者仍可利用 conditional error 手法取出資料 (詳請見以下連結)。
如上圖所示注入 exp(710) 表達式後,將導致程式接下來呼叫 mysql_fetch_array() 取得查詢結果時發生錯誤。
- https://www.exploit-db.com/docs/english/37953-mysql-error-based-sql-injection-using-exp.pdf
- https://portswigger.net/web-security/sql-injection/blind#:~:text=conditional%20responses%20by-,triggering%20SQL%20errors,-In%20the%20preceding
測試腳本部分內容
測試結果
修補建議
- 改用安全的函式庫 (如 https://meekro.com/) 進行 MySQL 操作
- 或至少過濾 `' (單引號)`、`" (雙引號)` 等可重塑語句結構的特殊符號
- 關閉或限制不需使用的 API,像是已結束的活動如 game.php 等
- 檢查其他 API 是否可能存在 SQLi 或其他弱點
- 對使用者密碼進行安全的 hash 運算後再存放 (如 bcrypt)
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。