当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023783

漏洞标题:搜狐微博某处csrf,可定向获取关注(含过程)

相关厂商:搜狐

漏洞作者: 梧桐雨

提交时间:2013-05-15 16:12

修复时间:2013-06-29 16:13

公开时间:2013-06-29 16:13

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-15: 细节已通知厂商并且等待厂商处理中
2013-05-15: 厂商已经确认,细节仅向厂商公开
2013-05-25: 细节向核心白帽子及相关领域专家公开
2013-06-04: 细节向普通白帽子公开
2013-06-14: 细节向实习白帽子公开
2013-06-29: 细节向公众公开

简要描述:

第一次发csrf,严谨是王道。各位看官就别喷哈

详细说明:

0x1:首先还是很感谢我的两位朋友:@ms @jason协助我测试该漏洞,没有你们就没有这次漏洞的真相。因为是第一次发csrf,所以务必还是得非常严谨。
0x2:问题出在w.sohu.com,http://wooyun.org/bugs/wooyun-2010-023668在之前我还给搜狐的朋友报了一个存储型xss,感觉还是很多问题的。这次则是出现在加关注的接口上。通过测试,发现加关注接口是通过get方式传输的。抓包得到如下数据:

GET /t2/addfollow.do?uid=1607100580&ru=.%2Fper.do%3Fkw%3Dwutongyu22%26tp%3D0%26cp%3D1&myid=1488501092 HTTP/1.1
Host: w.sohu.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3


当然,这里头也没有加token。这样一来,我们就可以开始csrf了。
0x3:在测试的时候,出现了不少问题,可能也是因为第一次发csrf,没注意到这个细节。直到让朋友测试,一直返回url错误。后来反复研究数据包,问题出在myid上。。囧,后来通过替换myid,即可成功加关注。
0x4:利用过程,首先是没关注的:

123.jpg


因为我在我自己的网站已经构造好通过<img>方式引入了一个get加关注请求:
访问之后:

222.jpg


刷新看结果:

333.jpg


嗯,已经成功添加关注了:)
0x5:经过严密的测试(影响用户为登录w.sohu.com的所有用户+登录过w.sohu.com的t.sohu.com用户。主要还是w.sohu.com的手机用户)
0x6:上面的那个poc还是不完整,因为只能自己的帐号测试使用,那么如何使用这个csrf让你想关注的那人加你关注呢?只需要通过w.sohu.com这个跳板,给他发送私信,然后将myid更改成他的id,把自己的uid以及加自己关注的链接提取出来,就可以完整这次csrf攻击了:)
0x6:当然,还有更多隐秘的方式。。方法还有很多,不一一说了。

漏洞证明:

123.jpg


222.jpg


333.jpg

修复方案:

给关注接口加上token:)

版权声明:转载请注明来源 梧桐雨@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-05-15 17:08

厂商回复:

感谢对搜狐安全关注

最新状态:

暂无