漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-018599
漏洞标题:搜狐微博首页储存型XSS,可以插任意东西,可以大范围蠕虫、刷粉丝、钓鱼 ~~(☆_☆)/~~
相关厂商:搜狐
漏洞作者: px1624
提交时间:2013-02-11 21:29
修复时间:2013-03-28 21:30
公开时间:2013-03-28 21:30
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-02-11: 细节已通知厂商并且等待厂商处理中
2013-02-11: 厂商已经确认,细节仅向厂商公开
2013-02-21: 细节向核心白帽子及相关领域专家公开
2013-03-03: 细节向普通白帽子公开
2013-03-13: 细节向实习白帽子公开
2013-03-28: 细节向公众公开
简要描述:
这里先祝大家新年好,恭喜发财~
春晚后上网看到刘谦、力宏和云迪三人的故事,然后顺藤摸瓜就来到了搜狐微博,然后觉得那个位置比较可疑,就去试了试,果然感觉比较准,确实存在严重的漏洞,随便插啥玩意都行。。。
详细说明:
漏洞原因:post数据中的pics没有过滤 \
漏洞影响:随便插啥代码都行,可以大范围蠕虫、刷粉丝、钓鱼等
1 位置在搜狐微博发图片的那个pics参数中。
下面是一条普通的带图微博的post数据
可以看到其中的pics是以json的形式发送的。
2 于是这里果断去测试了一下 \ ,因为在js中可以用 \+ASCII码 的形式表示任意字符的,果然没有过滤。
然后就顺手在url参数的jpg后面加了 "onload="alert(1) 的js编码(我就这么叫吧)形式,post数据就变成了下面的代码
ps:这里可以利用gainover的工具进行js编码转换 http://app.baidu.com/app/enter?appid=280383
发现成功插入了代码,弹出了1
图1
3 接着又分别测测试了插入<img>、<iframe>、<script>等标签对,表示都毫无任何压力的成功插入了。(有没有成功插入可以通过谷歌浏览器F12用颜色区分,或者复制到外部txt中查看)
图2 3 4
插<img>
插<iframe>
插<script>
4 如上,可以调用任意外部js文件,由于post数据中没有key、token等东西,所以蠕虫表示毫无压力。
具体蠕虫和刷粉丝的利用可以查看 @imlonghao 的这个帖子 WooYun: 搜狐微博某处存储型小松鼠+顺便提一提相关接口未加上TOKEN
5 cookie就算了,能盗取到,不过搜狐微博是http-only的,盗取到了也么啥用,也登不上(不过可以通过伪造钓鱼页面 骗取账号和密码)。还不如搞蠕虫,刷粉丝实在。
6 最后,也不奢求能有礼物,只求把rank给够。不要直接啥都不回复甩个 5rank 给我,因为这个的确危害影响蛮大的!~
漏洞证明:
漏洞证明上面描述的已经很清楚了,这里就发个弹cookie的图吧。。
图5
修复方案:
过滤 \
ps:字符\全部都被乌云编辑器转换成了\\,剑心帮忙给改下。(改好后这句话删了额)
版权声明:转载请注明来源 px1624@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2013-02-11 23:56
厂商回复:
最新状态:
暂无