漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-016515
漏洞标题:腾讯某处存储型XSS一枚,可影响校友和空间。。
相关厂商:腾讯
漏洞作者: 鬼魅羊羔
提交时间:2012-12-26 10:05
修复时间:2013-02-09 10:05
公开时间:2013-02-09 10:05
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-12-26: 细节已通知厂商并且等待厂商处理中
2012-12-26: 厂商已经确认,细节仅向厂商公开
2013-01-05: 细节向核心白帽子及相关领域专家公开
2013-01-15: 细节向普通白帽子公开
2013-01-25: 细节向实习白帽子公开
2013-02-09: 细节向公众公开
简要描述:
腾讯某处存在过滤不严,导致XSS的出现,过程有点绕。。。
详细说明:
腾讯QQ昵称处存在过滤不严的问题,可以插入特殊字符,原本这是一个很正常的问题,script的语句写到闭合处的<script的时候,>括号就无法输入了。。。这个不是问题,长度不够,其实可以抓包改包实现突破,我之前的XSS都是用这样幼稚的手法实现的,问题就出来了,XSS问题出在QQ出的网页版QQ上,客户端无法抓包,那网页版应该可以吧?尝试以后的结果,还真的可以。。直接上图吧,这样说有点像讲故事。。
漏洞证明:
如下图:标签无法闭合。。网页版QQ也是如此。。
但是网页版的QQ,全完可以通过截包后修改,实现突破。。
画圈处就是昵称的位置,将XSS语句插入后提交。。
补充一下,测试QQ为:455457144
名字是改好了,但是如何触发就是个问题,想了2天没想出结果来,去彩贝网注册了下,既然发现在彩贝网,昵称是可以触发的。
彩贝网的没法实现攻击其他人,就不提了。。
继续下面的。。
腾讯一个三星活动页面,可以触发昵称。。
http://galaxycamera.act.qq.com/index1.html
点开以后就可以触发XSS了
既然可以触发,当然就想办法分享出去,造成影响。。。
利用上面的分享,可以直接分享出去,比如说朋友网,空间神马的。。
朋友网分享后的页面,点击链接即可触发。
空间也可以分享。。而且还可以指定攻击其他用户。。
这个有人担心动静太大,但是如果别人给你添加备注的话,就完全看不到昵称的问题了。
比如说:
昵称已经改了,这是备注的作用。。依旧是点击链接即可触发。。。
收获:
最后说下,晚上测试时,发现我自己这无法顺利复现了,经常抽风。。,但是金山毒霸的朋友那,却可以复现。。怕夜长梦多,所以先提交了。。。剩下的交给腾讯的大大们了。。
修复方案:
过滤吧。。
版权声明:转载请注明来源 鬼魅羊羔@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2012-12-26 15:13
厂商回复:
非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。
最新状态:
2012-12-26:刚刚我们发现这个在处理过程中已经在外部网站由报告者公开。对于该报告者不遵守乌云白帽子准则的行为,我们表示遗憾。希望乌云平台能够公正处理公开引导报告者的行为。