漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-015248
漏洞标题:当Discuz!遇上xsser.me
相关厂商:Discuz!
漏洞作者: imlonghao
提交时间:2012-11-25 13:15
修复时间:2012-11-30 13:16
公开时间:2012-11-30 13:16
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-11-25: 细节已通知厂商并且等待厂商处理中
2012-11-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
利用的是xsser.me的基础认证钓鱼,并成功钓到用户数据
详细说明:
当在Discuz中回帖,插入一张很奇葩的图片时,可能就会导致用户被盗号。
例如上面那个地址,可以用图片来引用之,然后回帖,当用户看到这张图片的时候,就会触发提示登陆框。
这个地址是一个401头
HTTP/1.1 401 Unauthorized
当输入密码后,会重定向到收集数据的页面,接着,你们密码就被盗了。
我为什么认为这个是一个漏洞:
1、用户网站大多都是提醒用户不要再站外输入自己的账号密码,但是,现在将代码插入到网站内部,用户有认为这是在网站内部,所以就输入了自己的密码。
2、经过试验,成功钓到了用户的数据
3、不仅仅是Discuz,需要网站都支持引用一张网络图片,并没有对图片的HTTP头进行检验。基础认证钓鱼很容易蔓延开来。。
4、之前的钓鱼过程是:黑客设立钓鱼页——通过短信息等传播这个地址——用户访问——用户受骗
而现在是:黑客在帖子中插入钓鱼信息——用户访问——用户受骗
显然,就少了一个非常繁琐的步骤。
例如,在一个论坛中,我将那个图片插在签名中,然后几乎每个帖子都去回复,然后,用户基本上就是去到哪里都能看到我的框框。。。。-,-然后后果你猜?!
(部分浏览器不支持)
漏洞证明:
修复方案:
你们看着办吧,我也想不到什么好的对策。。。
版权声明:转载请注明来源 imlonghao@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-11-30 13:16
厂商回复:
最新状态:
暂无