ecshop /includes/init.php Arbitrary User Login Vul

catalog

1. 漏洞描述
2. 漏洞觸發條件
3. 漏洞影響範圍
4. 漏洞程式碼分析
5. 防禦方法
6. 攻防思考

 

1. 漏洞描述

對使用者輸入的cookie，判斷免登的邏輯中存在漏洞，導致黑客可以直接通過cookie偽造登入任意使用者

Relevant Link:

http://sebug.net/vuldb/ssvid-19575

2. 漏洞觸發條件

cookie注入

3. 漏洞影響範圍
4. 漏洞程式碼分析

/includes/init.php

/* session 不存在，檢查 cookie */  
if (!emptyempty($_COOKIE['ECS']['user_id']) && !emptyempty($_COOKIE['ECS']['password']))  
{  
     // 找到了cookie, 驗證cookie資訊  
     $sql = 'SELECT user_id, user_name, password ' .  
             ' FROM ' .$ecs->table('users') .  
             " WHERE user_id = '" . intval($_COOKIE['ECS']['user_id']) . "'";  
     $row = $db->GetRow($sql);

從程式碼中可以看出, 當SESSION中不存在使用者登入資訊的時候, 會檢視COOKIE中的$_COOKIE['ECS']['user_id']和$_COOKIE['ECS']['password']兩個變數。如果 兩個變數都不為空，則查詢user表中user_id為$_COOKIE['ECS']['user_id']的使用者, 如果該使用者存在, 就直接置為登入狀態。而對$_COOKIE['ECS']['password']在整個判斷過程中並未進行使用

5. 防禦方法

/includes/init.php

// session 不存在，檢查cookie  
if (!empty($_COOKIE['ECS']['user_id']) && !empty($_COOKIE['ECS']['password']))
{
    // 找到了cookie, 驗證cookie資訊
    /* 同時驗證$_COOKIE['ECS']['user_id']、$_COOKIE['ECS']['password'] */
    $sql = 'SELECT user_id, user_name, password ' .
        ' FROM ' .$ecs->table('users') .
        " WHERE user_id = '" . intval($_COOKIE['ECS']['user_id']) . "' AND password = '" .$_COOKIE['ECS']['password']. "'";
    /* */
    $row = $db->GetRow($sql);

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved