当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025415

漏洞标题:大学生网商大赛 多处存储型XSS Cookie关键字段未设httpOnly 可修改委员、选手作品等(第一波)

相关厂商:大学生网络商务创新应用大赛

漏洞作者: 叶问

提交时间:2013-06-08 10:47

修复时间:2013-07-23 10:47

公开时间:2013-07-23 10:47

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-08: 细节已通知厂商并且等待厂商处理中
2013-06-12: 厂商已经确认,细节仅向厂商公开
2013-06-22: 细节向核心白帽子及相关领域专家公开
2013-07-02: 细节向普通白帽子公开
2013-07-12: 细节向实习白帽子公开
2013-07-23: 细节向公众公开

简要描述:

  某处由于没过滤任何字符串,导致存储型XSS(第一枚),cookie验证的关键字段.ASPXAUTH未设置httpOnly,不仅能登陆大赛管理员、委员、企业教官、指导老师、参赛选手的账号,而且对用户的参赛作品等数据拥有增删改的权限。
  
  感觉该网站的用户和数据还是比较重要的,这是网站通稿,头衔很大,漏洞也很大:
  
  2013年3月20日,由工业和信息化部指导、教育部支持、中国互联网协会主办、中国邮政储蓄银行主协办的全国性大学生互联网公益赛事——“邮储银行杯第六届全国大学生网络商务创新应用大赛”在北京师范大学正式启动。
  PS: 除了这个还有几个更严重的洞,等我测试完再发。

详细说明:

一、此XSS原因与危害。
  “参赛历程博文”的标题处没过滤任何字符,只是限定了最大输入为50个字符。 可以通过调用外部JS文件,或者发表多篇文章,拆分xss代码到多个标题中来达到利用的目的。
而在其cookie中,有一个字段ASP.NET_SessionId是设置了httpOnly。但经过试验证明,上面那个httpOnly是吓人的,登陆别人的账号只需字段.ASPXAUTH,而且它不是httpOnly。
  由此可见,通过这个XSS拿到的Cookie用处不小。

2..png


1.png


二、此XSS点之所在
1.在个人页面里面左下角,选择提交博文。

3.png


2.发表一篇博文标题为: 

洞洞</h1><script>alert("尼玛world")</script><h1>


4.png



3.立马出现“尼玛world”的字样,很好。

5.png


尼玛,似乎没过滤任何字符啊有木有。
4.继续编辑或发表一篇博文标题为:

洞洞</h1><script>alert(document.cookie)</script><h1>


结果关键字段在cookie中暴露出来了:

6.png


三、突破标题50个字符的限制
  1.</h1><script> 这里可以放25个字符 </script><h1> 显然,25个字符对调用于外部js来说,已经非常非常足够了,所以很危险。
  2.假如不想调用外部js,那就写多几个文章,把xss代码拆分到几个文章的标题里面,大家懂的,但要注意时间顺序,越晚编辑或表的文章会跑到越前,倒叙一下就OK。

漏洞证明:

直接上cookie,红色部分为登陆验证的关键字段,未设httpOnly:

6.png


PS: 还有很多洞,等我测试完再发。

修复方案:

1.过滤、转换特殊字。
2.httpOnly设置在关键字段。

版权声明:转载请注明来源 叶问@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-06-12 20:26

厂商回复:

最新状态:

暂无