init.php Arbitrary User Login Vul

catalog

1. 漏洞描述
2. 漏洞触发条件
3. 漏洞影响范围
4. 漏洞代码分析
5. 防御方法
6. 攻防思考

1. 漏洞描述

对用户输入的cookie，判断免登的逻辑中存在漏洞，导致黑客可以直接通过cookie伪造登录任意用户

Relevant Link:

http://sebug.net/vuldb/ssvid-19575

2. 漏洞触发条件

cookie注入

3. 漏洞影响范围
4. 漏洞代码分析

/includes/init.php

/* session 不存在，检查 cookie */  
if (!emptyempty($_COOKIE['ECS']['user_id']) && !emptyempty($_COOKIE['ECS']['password']))  
{  
     // 找到了cookie, 验证cookie信息  
     $sql = 'SELECT user_id, user_name, password ' .  
             ' FROM ' .$ecs->table('users') .  
             " WHERE user_id = '" . intval($_COOKIE['ECS']['user_id']) . "'";  
     $row = $db->GetRow($sql);

从代码中可以看出, 当SESSION中不存在用户登录信息的时候, 会查看COOKIE中的 $_COOKIE['ECS']['user_id']和$ _COOKIE['ECS']['password']两个变量。如果两个变量都不为空，则查询user表中user_id为 $_COOKIE['ECS']['user_id']的用户, 如果该用户存在, 就直接置为登录状态。而对$ _COOKIE['ECS']['password']在整个判断过程中并未进行使用

5. 防御方法

/includes/init.php

// session 不存在，检查cookie  
if (!empty($_COOKIE['ECS']['user_id']) && !empty($_COOKIE['ECS']['password']))
{
    // 找到了cookie, 验证cookie信息
    /* 同时验证$_COOKIE['ECS']['user_id']、$_COOKIE['ECS']['password'] */
    $sql = 'SELECT user_id, user_name, password ' .
        ' FROM ' .$ecs->table('users') .
        " WHERE user_id = '" . intval($_COOKIE['ECS']['user_id']) . "' AND password = '" .$_COOKIE['ECS']['password']. "'";
    /* */
    $row = $db->GetRow($sql);