腾讯企业邮箱通用跨站漏洞（需目标站xss配合）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0145397

漏洞标题：腾讯企业邮箱通用跨站漏洞（需目标站xss配合）

漏洞作者： Sogili

提交时间：2015-10-08 19:16

修复时间：2015-11-23 19:48

公开时间：2015-11-23 19:48

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-08：细节已通知厂商并且等待厂商处理中
2015-10-09：厂商已经确认，细节仅向厂商公开
2015-10-19：细节向核心白帽子及相关领域专家公开
2015-10-29：细节向普通白帽子公开
2015-11-08：细节向实习白帽子公开
2015-11-23：细节向公众公开

简要描述：

由于开发人员问题疏忽导致目标的任意子站的 XSS 都可以被用来攻击企业邮箱。

详细说明：

企业邮的这个页面 /zh_CN/htmledition/domain0ef52a.html 可以被用来做 XSS域跳板，每个腾讯企业邮都存在这个页面。
只要是以 mail.主站.xxx 这种形式的都可以通过目标任意一个子站的 XSS 攻击的邮箱。

漏洞证明：

<html><head><meta http-equiv="Content-Type" content="text/html; charset=gb2312"/>
<script>
(function()
{
	var _sDomain = location.search.split("?").pop().split("&").shift();
	window.onerror = function(){return true;};
	_sDomain && (document.domain = decodeURIComponent(_sDomain));
}
)();
</script>
<script>
var goBody = [];
(function()
{
	if(!parent.getTop)
	{
		return;
	}
	var _oFrameElm = window.frameElement,
		_oHeader = [decodeURIComponent(_oFrameElm.getAttribute("_header") || "")],
		_sBody = decodeURIComponent(_oFrameElm.getAttribute("_body") || ""),
		_oFiles = decodeURIComponent(_oFrameElm.getAttribute("_file") || "").split("|"),
		_oFileInfo, _sFileType, _sFile;
	_sBody.indexOf("<body") == -1 ? goBody.push('<body class="domain">', _sBody, '</body>') : goBody.push(_sBody);
	for (var i = _oFiles.length - 1; i >= 0; i--)
	{
		_oFileInfo = _oFiles[i].split(":");
		_sFileType = _oFileInfo.shift();
		_sFile = _oFileInfo.join(":");
		switch(_sFileType)
		{
		case "js":
		case "html":
		case "img":
			if (_sFileType == "img" || 
				navigator.userAgent.toLowerCase().indexOf("webkit") != -1)
			{
				goBody.push('<img src="', _sFile, '"/>');
				break;
			}
			if (!','.split(/,/).length) //ie
			{
				_oHeader.push('<script src="', _sFile, '" ><\/script>');
				break;
			}
		case "css":
			_oHeader.push('<link rel="stylesheet" type="text/css" href="', _sFile, '" />');
		}
	}
	document.write(_oHeader.join(""));
}
)();
</script>
</head><script>goBody && document.write(goBody.join(""));</script></html>

http://mail.javaweb.org/zh_CN/htmledition/domain0ef52a.html?javaweb.org
打开控制台，输入 document.domain，可以看到值为 javaweb.org，也就是说我们可以通过任意一个子域的 XSS 攻击企业邮箱。

修复方案：

1. 对于企业来说最好是不使用主站的域名做企业邮
2. 对于腾讯来说没有什么好的办法，可以参考下QQ邮箱。

版权声明：转载请注明来源 Sogili@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2015-10-09 19:47

厂商回复：

非常感谢您的报告，问题已着手处理，感谢大家对腾讯业务安全的关注。如果您有任何疑问，欢迎反馈，我们会有专人跟进处理。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0145397

漏洞标题：腾讯企业邮箱通用跨站漏洞（需目标站xss配合）

相关厂商：腾讯

漏洞作者： Sogili

提交时间：2015-10-08 19:16

修复时间：2015-11-23 19:48

公开时间：2015-11-23 19:48

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Sogili@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0145397

漏洞标题：腾讯企业邮箱通用跨站漏洞（需目标站xss配合）

相关厂商：腾讯

漏洞作者： Sogili

提交时间：2015-10-08 19:16

修复时间：2015-11-23 19:48

公开时间：2015-11-23 19:48

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0145397"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Sogili@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：