漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-025051
漏洞标题:移动139邮箱,某常用处没过滤任何字符,持久型XSS
相关厂商:139移动互联
漏洞作者: 叶问
提交时间:2013-06-03 16:37
修复时间:2013-06-08 16:38
公开时间:2013-06-08 16:38
漏洞类型:xss跨站脚本攻击
危害等级:低
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-03: 细节已通知厂商并且等待厂商处理中
2013-06-08: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
移动的139邮箱,由于过滤不严(可以说没过滤任何字符),导致存储型XSS(发送给不同用户均测试成功,实验证明,多种邮箱QQ或网易等,发给139邮箱的邮件,都可以形成本文讨论的XSS)。Cookie什么的就不说了,还可以插入任意标签,蠕虫什么的大家应该想得到。
详细说明:
一、发一封邮件:
标题为:
二、发送完成后,不管收件人点与不点,目标收件箱处于打开状态的话,都会很友好地弹出一个新邮件提示框。然而,正是这个框,立马触发了XSS的执行,请看cookie。
从下面的源码可看出,提示框中输出时并未过滤 >、<、”、’ 等几个字符(实验证明,它没过滤任意字符,可以插入<img> 、<script>、<iframe>……等任意标签),很容易就截断原来的<a>标签而造成任意XSS跨站。
三、梅开二度
在邮件的预览界面里,同样可以触发XSS。
熟悉的cookie:
四、连中三元?
幸运的是邮件内容中过滤了非法字符,标题和内容都不会导致XSS,而且标题也有大小限制,反正我最长的标题输入只能是这个(但已经不少了,加上调用外部js的话 - - ):
"> <img src="c.jjpg" onerror="alert(0sdfsfsd6f5s4df564555555555555555555555555555555555555555555555555555555555555ssssssdddddddddddsssssssssssssssssssssssssssssssss)" > 用分号截断a标签的onclick属性;用大于号来闭合a标签~:
但是,由于没过滤任意字符可以插入<-- ….. --> ,不知可否入手。
五、总结一下:
1.只要受害者开着收件箱、或打开收件箱,每封新邮件都会弹提示对话框,所谓躺着也中枪。
2.用户预览邮件的时候,立马膝盖中箭。
3.蠕虫什么的就不写了,白费精力,相信移动过两天就修复了。
4.修复什么的,我说都是浮云,10086更懂。
漏洞证明:
修复方案:
10086更懂
版权声明:转载请注明来源 叶问@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-06-08 16:38
厂商回复:
最新状态:
暂无