当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107317

漏洞标题:263通信企业邮箱存储型XSS漏洞(绕过XSS过滤)

相关厂商:263通信

漏洞作者: 男丶壹号

提交时间:2015-04-13 10:47

修复时间:2015-05-04 14:27

公开时间:2015-05-04 14:27

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-13: 细节已通知厂商并且等待厂商处理中
2015-04-13: 厂商已经确认,细节仅向厂商公开
2015-04-23: 细节向核心白帽子及相关领域专家公开
2015-05-03: 细节向普通白帽子公开
2015-05-04: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

XSS攻击,可打任意用户cookie

详细说明:

1.登录企业邮箱:http://mm.263.com/
2.进入个性签名设置,测试xss:

1.jpg


3.保存以后,预览签名,无效果,发现onerror被替换成了_nerror:

2.jpg


4.再修改onerror为 aonerror,发现并没有被替换成a_nerror:

3.jpg


看来不是单纯的根据"onerror"来过滤,应该用的是正则。
5.在onerror前面加个"_"(凭感觉~~),然后奇迹出现了:

<img _ onerror="alert(document.cookie)" src="null"/>


5.jpg


6.既然个性签名可以,那接下来试试发送邮件,同样的方式,提示发送成功的时候弹出来了:

6.jpg


7.以为这样就搞定了,结果接收人查看邮件的时候,无任何反应,查看源码,发现添加的"_"自动转转换成了 _="" :

7.jpg


8.Tamper Data截包,将内容参数中的 _="" 改成 _:

8.jpg


9.jpg


邮件发送成功。
9.接收人查看新邮件,成功弹出xss:

10.jpg


漏洞证明:

利用上述xss,发送邮件给目标用户,可获取到用户cookie:

11.jpg


目标用户关闭浏览器,但是没有点“退出”, 这个cookie仍然效;
利用上面的toplocation+Cookie,成功登录目标用户的邮箱。

修复方案:

后台XSS过滤不完整,加强过滤。

版权声明:转载请注明来源 男丶壹号@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-04-13 16:31

厂商回复:

感谢您的帮助,漏洞正在修复中

最新状态:

2015-05-04:已修复