淘宝网 -- 商品页面强制弹出任意网页漏洞，又是前端“黑客”？

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-024153

漏洞标题：淘宝网 -- 商品页面强制弹出任意网页漏洞，又是前端“黑客”？

漏洞作者：路人甲

提交时间：2013-05-20 16:50

修复时间：2013-07-04 16:51

公开时间：2013-07-04 16:51

漏洞类型：恶意信息传播

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-05-20：细节已通知厂商并且等待厂商处理中
2013-05-20：厂商已经确认，细节仅向厂商公开
2013-05-30：细节向核心白帽子及相关领域专家公开
2013-06-09：细节向普通白帽子公开
2013-06-19：细节向实习白帽子公开
2013-07-04：细节向公众公开

简要描述：

看到乌云今天报告的这个“点击劫持”漏洞，想起我也遇到过强行被店铺弹窗的经历！

详细说明：

店铺地址是这个，重现可以来这里看。

http://item.taobao.com/item.htm?spm=a230r.1.14.69.zk34BW&id=25101676408&_u=k3jfumt58e4

访问被强行调到天猫，带有淘宝客ID

http://www.tmall.com/?ali_trackid=2:mm_34019173_0_0:1369039267_3k9_1575965793

分析了一下，应该是店铺所有者在CSS样式中插入了一个“恶意”flash文件，达到任意跳转店铺访问的目的。
图1：源码中店铺调用该样式等信息的地方

图2：“恶意”swf文件地址，http://yun.taosoft.com.cn/taoflash/swf/1666424963/1367227913539.swf?cid=tb1666424963&pid=c3dmLzE2NjY0MjQ5NjMvMTM2NzIyNzkxMzUzOS5zd2Y=

图3：“恶意”swf文件，强制弹出连接 http://www.locailed.com/cc/cc1.html

直接curl也可看到最终跳转的页面地址

curl "http://yun.taosoft.com.cn/taoflash/swf/1666424963/1367227913539.swf?cid=tb1666424963&pid=c3dmLzE2NjY0MjQ5NjMvMTM2NzIyNzkxMzUzOS5zd2Y="
FWQ8
    DC???/?+http://www.locailed.com/cc/cc1.html_blank@

可能是通过cid或pid来调换跳转地址吧，这个swf是通用的抢弹程序（此处猜测）~

漏洞证明：

最终cc1.html文件源码

<html>
<head>
<meta http-equiv="Content-Language" content="zh-CN">
<meta HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
<meta http-equiv="refresh" content="0.1;url=http://light.lz.taobao.com/index.php?fid=77&flag=1&r=http://%73%2E%63%6C%69%63%6B%2E%74%61%6F%62%61%6F%2E%63%6F%6D%2F%74%3F%65%3D%7A%47%55%33%34%43%41%37%4B%25%32%42%50%6B%71%42%30%35%25%32%42%6D%37%72%66%47%47%6A%6C%59%36%30%6F%48%63%63%37%62%6B%4B%4F%51%69%51%7A%69%67%34%6E%7A%6F%67%4D%42%58%50%72%62%50%32%70%52%50%42%53%4F%6B%42%53%35%44%68%48%35%48%46%35%76%51%49%68%69%34%66%4A%37%37%55%33%61%4B%64%4B%47%75%75%36%5A%76%37%70%39%46%50%38%69%33%74%70%65%77%48%64%49%68%48%36%75%44%4D%65%41%25%33%44%25%33%44">
<title></title>
</head>
<body>
</body>
</html>

经过meta这个跳转的几跳后，到了最终的天猫+淘宝客ID连接上，看图吧

修复方案：

新人，求带！

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：4

确认时间：2013-05-20 18:41

厂商回复：

非常感谢您对我们的支持与关注，该问题我们正在修复~~

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-024153

漏洞标题：淘宝网 -- 商品页面强制弹出任意网页漏洞，又是前端“黑客”？

相关厂商：淘宝网

漏洞作者：路人甲

提交时间：2013-05-20 16:50

修复时间：2013-07-04 16:51

公开时间：2013-07-04 16:51

漏洞类型：恶意信息传播

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-024153

漏洞标题：淘宝网 -- 商品页面强制弹出任意网页漏洞，又是前端“黑客”？

相关厂商：淘宝网

漏洞作者： 路人甲

提交时间：2013-05-20 16:50

修复时间：2013-07-04 16:51

公开时间：2013-07-04 16:51

漏洞类型：恶意信息传播

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-024153"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云