爱吃喷雾移动应用多个漏洞

后门帐户

硬编码到应用程序是一个行政后门,可能允许攻击者操纵信息与管理控制,他们正常的用户将无法访问。例如,这个后门与恶意攻击者可以修改或删除信息。一个例子的代码负责这个后门遵循和发生无数次在整个代码库:

ClimbInfoPage.prototype。checkIfUser = function () {var_this =这;这.localUser.getUser ()。然后(函数(localUser) {如果(localUser & & _this.climb) {_this。用户= localUser;_this。userIsSetter = (localUser。用户名= = = _this.climb.setBy) ?真正的:假;_this。userIsAdmin = (localUser.email.toLowerCase () = = = _this.wallAdmin.toLowerCase () | | localUser。电子邮件= = =”(电子邮件保护)”| | _this.userIsSetter) ?真正的:假;如果(localUser [“日志”+ _this.climb。墙]& & localUser [“日志”+ _this.climb.wall]。长度> 0){localUser [“日志”+ _this.climb.wall]。forEach(函数(爬){如果(爬。id = = = _this _this.climb.id)。userHasLogged =真正的;});}}});}

例如攻击场景中,攻击者可以简单地改变这个地址手工和滥用的额外功能中获得应用。

足够的安全控制

似乎所有的应用程序的管理功能是强制客户端,可以允许一个恶意的演员手工打造API请求为了获取信息,他们通常不会有访问权。例如,通过手工锻造的请求,我们的研究人员可以添加、修改、和删除墙(私人),问题,图片,用户,等等。例如,我们可以获得一个完整列表的墙壁和相关联的密码散列私人墙通过手动发送这些请求在一个流氓程序:

]],[31日[{“documentChange”:{“文档”:{“名称”:“项目/ whatsyourspraywall /数据库/ (默认的)/文件/墙壁/ <审查>”,“字段”:{“设置当前日期”:{“integerValue”:“1597465843256”},“健身”:{“stringValue”:" <审查>”},“皮肤”:{“mapValue”:{“字段”:{“成绩”:{“booleanValue”:真正的},“aboutText”:{“stringValue”:"},“标志”:{“stringValue”:"},“aboutImg”:{“stringValue”:“https:/ /i.imgur.com/ <审查> . jpg”}}}},“名称”:{“stringValue”:“<审查>”},“位置”:{“stringValue”:“纽约”},“网站”:{“stringValue”:"},“密码”:{“stringValue”:“08年美元2美元/ <审查> / 9 kablq9d5e0iyvcbhk”},“admin”:{“stringValue”:“<审查> @gmail.com”},“id”:{“stringValue”:“<审查>”}},“createTime”:“2020 - 08 - 16 - t04:30:44.103040z”,“updateTime”:“2020 - 08 - 16 - t04:34:35.532848z”},“targetIds”:[6]}