当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024523

漏洞标题:傲游浏览器遨游今日XSS+遨游浏览器拒绝服务漏洞

相关厂商:傲游

漏洞作者: zyymartin

提交时间:2013-05-27 17:20

修复时间:2013-08-22 17:21

公开时间:2013-08-22 17:21

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-27: 细节已通知厂商并且等待厂商处理中
2013-06-01: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2013-07-26: 细节向核心白帽子及相关领域专家公开
2013-08-05: 细节向普通白帽子公开
2013-08-15: 细节向实习白帽子公开
2013-08-22: 细节向公众公开

简要描述:

傲游浏览器遨游今日XSS+遨游浏览器拒绝服务

详细说明:

遨游今日(http://i.maxthon.cn/)XSS跨站+拒绝服务[遨游今日PR:6]
1.访问下面的链接:

http://i.maxthon.cn/#!w="/><script>alert(document.cookie)</script>'


3.jpg

XSS弹窗了
2.再次打开遨游浏览器(遨游自动默认遨游今日为首页)再次弹窗,而且浏览器卡死
(拒绝服务!)这怎么回事呢?
3.好,我们来分析为什么,经过分析:
原来是首页保存了error-widget的内容,之前一次错误的搜索结果会保存在首页,这样打开首页的时候由于错误的data-name就会导致弹窗,通过隐藏/显示DIV块来显示不同内容,但是搜索出错再切换回首页时I.MAXTHON.CN保存了上一次的结果,导致上次搜索的恶意代码在首页被执行了。从遨游浏览器获取的HASHSTRING没有转义,导致出现此问题!也就是说:

function l(){var t,e=$.hash.localHash(),a={};return/^!/.test(e)?(t=e.slice(1),a=c(t)):a.w=e,a}


这儿令

e=$hash.localHash();
……t.push('" data-name="刷新一下['+e+']">刷新一下</a>'),t.push('<a href="#!w=main"'),……


这儿把e原样写入了
只要e为带双引号的代码即可触发

/index.v5.js


漏洞证明:

证明:

function l(){var t,e=$.hash.localHash(),a={};return/^!/.test(e)?(t=e.slice(1),a=c(t)):a.w=e,a}


这儿令

e=$hash.localHash();
……t.push('" data-name="刷新一下['+e+']">刷新一下</a>'),t.push('<a href="#!w=main"'),……


这儿把e原样写入了
只要e为带双引号的代码即可触发

/index.v5.js


QQ图片20130526123249.jpg


2.jpg


修复方案:

修改/index.v5.js关于hashString的处理方式

版权声明:转载请注明来源 zyymartin@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-08-22 17:21

厂商回复:

最新状态:

2013-08-22:已修正.