当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145397

漏洞标题:腾讯企业邮箱通用跨站漏洞(需目标站xss配合)

相关厂商:腾讯

漏洞作者: Sogili

提交时间:2015-10-08 19:16

修复时间:2015-11-23 19:48

公开时间:2015-11-23 19:48

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-08: 细节已通知厂商并且等待厂商处理中
2015-10-09: 厂商已经确认,细节仅向厂商公开
2015-10-19: 细节向核心白帽子及相关领域专家公开
2015-10-29: 细节向普通白帽子公开
2015-11-08: 细节向实习白帽子公开
2015-11-23: 细节向公众公开

简要描述:

由于开发人员问题疏忽导致目标的任意子站的 XSS 都可以被用来攻击企业邮箱。

详细说明:

企业邮的这个页面 /zh_CN/htmledition/domain0ef52a.html 可以被用来做 XSS域跳板,每个腾讯企业邮都存在这个页面。
只要是以 mail.主站.xxx 这种形式的都可以通过目标任意一个子站的 XSS 攻击的邮箱。

漏洞证明:

<html><head><meta http-equiv="Content-Type" content="text/html; charset=gb2312"/>
<script>
(function()
{
var _sDomain = location.search.split("?").pop().split("&").shift();
window.onerror = function(){return true;};
_sDomain && (document.domain = decodeURIComponent(_sDomain));
}
)();
</script>
<script>
var goBody = [];
(function()
{
if(!parent.getTop)
{
return;
}
var _oFrameElm = window.frameElement,
_oHeader = [decodeURIComponent(_oFrameElm.getAttribute("_header") || "")],
_sBody = decodeURIComponent(_oFrameElm.getAttribute("_body") || ""),
_oFiles = decodeURIComponent(_oFrameElm.getAttribute("_file") || "").split("|"),
_oFileInfo, _sFileType, _sFile;
_sBody.indexOf("<body") == -1 ? goBody.push('<body class="domain">', _sBody, '</body>') : goBody.push(_sBody);
for (var i = _oFiles.length - 1; i >= 0; i--)
{
_oFileInfo = _oFiles[i].split(":");
_sFileType = _oFileInfo.shift();
_sFile = _oFileInfo.join(":");
switch(_sFileType)
{
case "js":
case "html":
case "img":
if (_sFileType == "img" ||
navigator.userAgent.toLowerCase().indexOf("webkit") != -1)
{
goBody.push('<img src="', _sFile, '"/>');
break;
}
if (!','.split(/,/).length) //ie
{
_oHeader.push('<script src="', _sFile, '" ><\/script>');
break;
}
case "css":
_oHeader.push('<link rel="stylesheet" type="text/css" href="', _sFile, '" />');
}
}
document.write(_oHeader.join(""));
}
)();
</script>
</head><script>goBody && document.write(goBody.join(""));</script></html>


http://mail.javaweb.org/zh_CN/htmledition/domain0ef52a.html?javaweb.org
打开控制台,输入 document.domain,可以看到 值为 javaweb.org,也就是说我们可以通过任意一个子域的 XSS 攻击企业邮箱。

修复方案:

1. 对于企业来说最好是不使用主站的域名做企业邮
2. 对于腾讯来说没有什么好的办法,可以参考下QQ邮箱。

版权声明:转载请注明来源 Sogili@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-10-09 19:47

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无