当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0152414

漏洞标题:搜狐邮箱存储型xss一枚

相关厂商:搜狐

漏洞作者: 影子哥

提交时间:2015-11-06 19:53

修复时间:2015-12-24 10:20

公开时间:2015-12-24 10:20

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-06: 细节已通知厂商并且等待厂商处理中
2015-11-09: 厂商已经确认,细节仅向厂商公开
2015-11-19: 细节向核心白帽子及相关领域专家公开
2015-11-29: 细节向普通白帽子公开
2015-12-09: 细节向实习白帽子公开
2015-12-24: 细节向公众公开

简要描述:

搜狐网盘上传文件未对文件名进行重命名,可以在linux下面创建一个带有xss代码的文件名,上传后触发存储型xss,不过漏洞有限,只能插自己,根据分享功能分享到邮箱后,也是只能插自己。后想到qq邮箱上传附件也未对文件名重命名,将上传的带有xss代码的附件发给搜狐邮箱后,触发搜狐邮箱存储型xss。

详细说明:

首先从搜狐网盘开始,由于没有对文件名过滤和重命名,所以上传一个如下名字的文件。

<img src=x onerror="alert(1)">


2015-11-06 17-57-57屏幕截图.png


2015-11-06 17-58-21屏幕截图.png


成功触发,不过只能插自己,通过分享功能分享到邮箱页面,同样弹了。

2015-11-06 17-59-28屏幕截图.png


但是发给他人之后,浏览却不会触发,发现搜狐对其进行了过滤。

2015-11-06 18-00-53屏幕截图.png


接着我们在下面的快捷回复框里面回复如下代码:

<img src=x onerror="alert(1)">


点击收件箱刚刚回复的邮件查看详细同样触发,不过刷新整个页面后被过滤掉。

2015-11-06 18-01-43屏幕截图.png


2015-11-06 18-02-48屏幕截图.png


以上xss都没有什么实际作用。在陷入困境的时候,想到用qq邮箱发封邮件给搜狐试试,于是在qq邮箱中上传刚刚的带有xss代码的附件。

2015-11-06 18-06-59屏幕截图.png


这个时候发现qq邮箱也有这个缺陷,文件名不被重新命名,网页也可以被注入代码,但是今天的主题不是qq邮箱,就先不管了。

2015-11-06 18-08-57屏幕截图.png


搜狐打开邮件,从源代码中发现附件的名字被注入到了网页中,现在只需要闭合双引号,用onmousemove这样的事件属性就可以触发xss。于是将附件名字改成如下:

" onmousemove="alert(2)">.txt


2015-11-06 18-14-16屏幕截图.png


继续用qq邮箱发送,打开后鼠标移动到附件名字上触发弹框,如上图。

2015-11-06 18-14-45屏幕截图.png


可以看到代码被注入网页
弹一下cookie

2015-11-06 18-16-27屏幕截图.png


漏洞证明:

如上面

修复方案:

过滤

版权声明:转载请注明来源 影子哥@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-11-09 10:19

厂商回复:

感谢支持。

最新状态:

暂无