当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0113742

漏洞标题:易多财富P2P平台存储型XSS可打管理(cookie有限制)

相关厂商:易多财富

漏洞作者: 孔卡

提交时间:2015-05-12 22:11

修复时间:2015-06-26 22:12

公开时间:2015-06-26 22:12

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-12: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

易多财富--最安全最专业的P2P互联网投融资平台
累计交易金额:54,970,000.00 元 累计利息总额:1,873,560.45 元 发标笔数:104 笔 会员总数:1500 人 合作担保机构:3 家

详细说明:

P2P平台现在太火热了,于是乎安全要求极端高于普通应用。一个XSS可影响所有用户资料及用户资金安全,如果得到详细信息的话,还可以用于电话诈骗等---都是地主老财啊有木有!
OK 废话不多说了,下个部分详细说明----

漏洞证明:

XSS过滤不严在这个地方---实名认证的名字处

6.jpg


名字在网页输入的时候是限制字段长度的,所以直接用burp抓包截断,修改name字段

11dd-2.jpg


</td><script>alert(1)</script>

用审查元素是可以看到name字段在标签<td>里,所以用</td>给他闭合了先,然后就不解释了,继续上图

11dd-3.jpg


这张图里是最开始测试的时候截的,后面我改成正常中文名加代码也可以正常弹窗,但是实名认证已经通过了,现在没法修改了,请见谅
但是查看源码是无法看到相关代码的,只能看到中文名字,所以我们还是用XSS代码试了下看能不能在后台执行(这里是实名认证的审核,审核的话那必须是管理员啊,所以标题就是只打管理员)
于是乎,短信来了,邮箱来信了~~~~~

11dd-5.jpg


可以看到,后台打到了,cookie做了http-only(默默点个赞)

https://www.11dd.com.cn/admin/login/login.html

后台这里也有点问题,管理后台路径太简单了,验证码也木有~~~有待加强啊,太容易爆破了
那没打到cookie的话,是否就安全了呢?
仿造后台钓鱼页面,挂个.js文件,或者挂网马,全部可以实现,可是此平台太过敏感,被发现了就弄巧成拙了,只证明到此~~~~~

修复方案:

其他地方的XSS都做过过滤~~~我相信这里是你们失误了~~~
现在这个存储型XSS只要你们登陆我就在收信,因为怕我自己隐私泄露,可以私信我我告诉你们是哪个账户上面有测试代码,我这里自己无权修改啊。。。。
厂商大大能给个礼物么^-^

版权声明:转载请注明来源 孔卡@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝