ThinkSAAS因过滤不严导致的存储型XSS（两处）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060303

漏洞标题：ThinkSAAS因过滤不严导致的存储型XSS（两处）

漏洞作者： BadCat

提交时间：2014-05-12 12:02

修复时间：2014-08-10 12:04

公开时间：2014-08-10 12:04

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-12：细节已通知厂商并且等待厂商处理中
2014-05-12：厂商已经确认，细节仅向厂商公开
2014-05-15：细节向第三方安全合作伙伴开放
2014-07-06：细节向核心白帽子及相关领域专家公开
2014-07-16：细节向普通白帽子公开
2014-07-26：细节向实习白帽子公开
2014-08-10：细节向公众公开

简要描述：

因某函数的过滤不严，导致存在存储型XSS

详细说明：

第一处XSS漏洞：
问题存在于：

http://localhost/thinksaas/index.php?app=group&ac=create&ts=do

我们看看代码

//执行创建小组
	case "do":
	
		if($TS_APP['options']['iscreate'] == 0 || $TS_USER['user']['isadmin']==1){
	
			if(intval($_POST['grp_agreement']) != 1){
				tsNotice('不同意社区指导原则是不允许创建小组的！');
			}
			
			$groupname = t($_POST['groupname']);
			$groupdesc = tsClean($_POST['groupdesc']);
			
			if($groupname=='' || $groupdesc=='') {
				tsNotice('小组名称和介绍不能为空！');
			}
			
			//过滤内容开始
			aac('system')->antiWord($groupname);
			aac('system')->antiWord($groupdesc);
			//过滤内容结束
			
			//配置文件是否需要审核
			$isaudit = intval($TS_APP['options']['isaudit']);
			if($TS_USER['user']['isadmin']==1){
				$isaudit = 0;
			}
			
			$isGroup = $new['group']->findCount('group',array(
				'groupname'=>$groupname,
			));
			
			if($isGroup > 0) {
				tsNotice("小组名称已经存在，请更换其他小组名称！");
			}
			$groupid = $new['group']->create('group',array(
				'userid'	=> $userid,
				'cateid'=>intval($_POST['cateid']),
				'cateid2'=>intval($_POST['cateid2']),
				'cateid3'=>intval($_POST['cateid3']),
				'groupname'	=> $groupname,
				'groupdesc'	=> $groupdesc,
				'isaudit'	=> $isaudit,
				'addtime'	=> time(),
			));
			//上传
			$arrUpload = tsUpload($_FILES['picfile'],$groupid,'group',array('jpg','gif','png'));
			
			if($arrUpload){
				$new['group']->update('group',array(
					'groupid'=>$groupid,
				),array(
					'path'=>$arrUpload['path'],
					'photo'=>$arrUpload['url'],
				));
			}
			
			//绑定成员
			$new['group']->create('group_user',array(
				'userid'=>$userid,
				'groupid'=>$groupid,
				'addtime'=>time(),
			));
			
			//更新
			$count_group = $new['group']->findCount('group_user',array(
				'userid'=>$userid,
			));
			$new['group']->update('user_info',array(
				'userid'=>$userid,
			),array(
				'count_group'=>$count_group,
			));
			
			//更新小组人数
			$new['group']->update('group',array(
				'groupid'=>$groupid,
			),array(
				'count_user'=>1,
			));
			
			//更新分类统计
			$cateid = intval($_POST['cateid']);
			if($cateid > 0){
				$count_group = $new['group']->findCount('group',array(
					'cateid'=>$cateid,
				));
				
				$new['group']->update('group_cate',array(
					'cateid'=>$cateid,
				),array(
					'count_group'=>$count_group,
				));
		
			}
			header("Location: ".tsUrl('group','show',array('id'=>$groupid)));
		}
		break;

$groupdesc 是由 tsClean 函数进行过滤的，来看看此函数代码

/**
 * 过滤脚本代码
 * @param unknown $text
 * @return mixed
 */
function cleanJs($text) {
	$text = trim ( $text );
	//$text = stripslashes ( $text );
	// 完全过滤注释
	$text = preg_replace ( '/<!--?.*-->/', '', $text );
	// 完全过滤动态代码
	$text = preg_replace ( '/<\?|\?>/', '', $text );
	// 完全过滤js
	$text = preg_replace ( '/<script?.*\/script>/', '', $text );
	// 过滤多余html
	$text = preg_replace ( '/<\/?(html|head|meta|link|base|body|title|style|script|form|iframe|frame|frameset)[^><]*>/i', '', $text );
	// 过滤on事件lang js
	while ( preg_match ( '/(<[^><]+)(lang|data|onfinish|onmouse|onexit|onerror|onclick|onkey|onload|onchange|onfocus|onblur)[^><]+/i', $text, $mat ) ) {
		$text = str_replace ( $mat [0], $mat [1], $text );
	}
	while ( preg_match ( '/(<[^><]+)(window\.|javascript:|js:|about:|file:|document\.|vbs:|cookie)([^><]*)/i', $text, $mat ) ) {
		$text = str_replace ( $mat [0], $mat [1] . $mat [3], $text );
	}
	return $text;
}

只对一些标签和属性进行了过滤
因此 $_POST['groupdesc'] 可以插入XSS
构造个XSS代码

<marquee onscroll=alert(1)></marquee>

看以下的漏洞证明，代码执行了

第二处XSS漏洞：
问题存在于 : http://localhost/thinksaas/index.php?app=photo&ac=edit&ts=do

case "do" :
	
		if ($_POST ['token'] != $_SESSION ['token']) {
			tsNotice ( '非法操作！' );
		}
		
		$articleid = intval ( $_POST ['articleid'] );
		
		$strArticle = $new ['article']->find ( 'article', array (
				'articleid' => $articleid 
		) );
		
		if($strArticle['userid']!=$userid){
			tsNotice('非法操作！');
		}
		
		$cateid = intval ( $_POST ['cateid'] );
		$title = tsClean ( $_POST ['title'] );
		$content = tsClean ( $_POST ['content'] );

tsClean过滤不严导致 $title 和 $content可以插入XSS
构造XSS代码
<marquee onscroll=alert(1)></marquee>

漏洞证明：

第二处访问相册的时候会触发

修复方案：

建议使用htmlspecialchars 进行过滤

版权声明：转载请注明来源 BadCat@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：7

确认时间：2014-05-12 22:32

厂商回复：

感谢反馈，官网已经修复，等待下载版本的修复

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060303

漏洞标题：ThinkSAAS因过滤不严导致的存储型XSS（两处）

相关厂商：thinksaas.cn

漏洞作者： BadCat

提交时间：2014-05-12 12:02

修复时间：2014-08-10 12:04

公开时间：2014-08-10 12:04

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 BadCat@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060303

漏洞标题：ThinkSAAS因过滤不严导致的存储型XSS（两处）

相关厂商：thinksaas.cn

漏洞作者： BadCat

提交时间：2014-05-12 12:02

修复时间：2014-08-10 12:04

公开时间：2014-08-10 12:04

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-060303"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 BadCat@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：