当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018542

漏洞标题:多玩有爱个人信息+奇葩头像存储型xss

相关厂商:广州多玩

漏洞作者: ‫‌

提交时间:2013-02-08 20:17

修复时间:2013-02-13 20:18

公开时间:2013-02-13 20:18

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-02-08: 细节已通知厂商并且等待厂商处理中
2013-02-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

可以说比较奇葩了,主要在方式上。
存储型的危害真的不大么?
希望重视。。
看到刚刚更新了动态,是不是还没放假啊?
没放假咱就继续修补漏洞吧。。。
是之前写的,直接算是贴文章了

详细说明:

从多玩的分站跨起,先回顾下前两次的弹窗办法吧。
站点地址:http://y.duowan.com
弹窗1:
  第一次的弹窗,比较便于实现,由于漏洞修补,无法截图,大概的说说,多玩有爱类似于一般的微博,有这么几个功能,经过测试,发现几个功能的内容插入中都有过滤,包括用Tamper Data改其他内容,也发现了过滤,由于文字和图片没问题了,就测试下其他的,发现视频功能出要求视频的播放页面,于是我邪恶的随便找了个页面后面加上了"><script>alert(1)</script>,点击保存后发现没有什么情况,然后点击发帖,这时弹了框。

xxxx.png


  紧接着就去测试了音乐这个功能,这个却被过滤了,发现.mp3之后的内容都会被X掉,于是在中间加上,这样可以却无法保存,因为无法播放,于是使用http://”><script>alert(1)</script>@www.xxx.com/xxx.mp3 绕过,成功弹窗。
  接着就是链接的功能了,链接处测试后是过滤的,但是存在一个预览标题的功能,于是我自己搞了个空间标题上放了个XSS,就这样也弹了。
弹窗2:
  也不知道为什么,有爱关闭了发帖功能,有点坑爹之外也有点纳闷,不能发帖就完全没办法从发帖处入手xss了,于是纠结得去看了看仅剩不多的功能。
  

xxx2.png


  基本信息的修改处,有些框,敏感地插了插,发现有两处未过滤,用tamper Data修改后弹框。
  

xxx3.png


xxx4.png


  
  弹窗3:改弹的地方都弹了,看看其他地方吧,有个修改头像,心里还想着如果能直接传php马儿该有多好,于是。轻轻一瞄就知道不太可能了。
  

xxx5.png


  抱着试一试的态度我传了个图片上去,点击保存设置,看了看TamperData的包,第二个包和第三个包有些奇异。

  http://upload.y.duowan.com/photo_upload.do?userAgent=Mozilla/5.0%20%28Windows%20NT%205.1;%20rv:17.0%29%20Gecko/20100101%20Firefox/17.0
  http://y.duowan.com/person/myphoto_post?photoUrl=http%3A%2F%2Fimg4.y.duowan.com%2F1667137.jpg&_=1358839269545


  一个有提交HTTP_USER_AGENT,另外一个提交的是Url,两个重放的结果,一个500了,但第二个返回一个json,如图:
  

xxx6.png


  确定photoUrl可以通过这里控制,果断提交下面内容:
 

 http://y.duowan.com/person/myphoto_post?photoUrl=http://"><img src=%23 onerror=alert(1)>&_=1358839269545
  


  弹框。完工。

xxx7.png


By:0x0F

漏洞证明:

见上条。

修复方案:

你们懂得多。只求厂商不降低危害等级。

版权声明:转载请注明来源 ‫‌@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-02-13 20:18

厂商回复:

最新状态:

暂无