漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-092681
漏洞标题:WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设
相关厂商:华美科技(苏州)有限公司
漏洞作者: 路人甲
提交时间:2015-01-19 15:40
修复时间:2015-03-05 15:42
公开时间:2015-03-05 15:42
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-19: 细节已通知厂商并且等待厂商处理中
2015-01-22: 厂商已经确认,细节仅向厂商公开
2015-02-01: 细节向核心白帽子及相关领域专家公开
2015-02-11: 细节向普通白帽子公开
2015-02-21: 细节向实习白帽子公开
2015-03-05: 细节向公众公开
简要描述:
WinMail邮件系统是公司企业、大专院校、中小学校、集团组织、政府部门的企业邮局系统架设软件。但它有xss漏洞。
详细说明:
WinMail邮件系统是公司企业、大专院校、中小学校、集团组织、政府部门的企业邮局系统架设软件。它的典型客户涵盖了政府机关、政府信息中心、税务机关、军队公安武警、法院,检察院系统、监狱系统、事业单位、新闻报社、电视媒体.....,总之使用单位相当多,但是它出xss了,并且简单绕过,使其过滤规则形同虚设,从而xss满屏跑。
xss漏洞一:不需要绕过就能触发型,方式,在邮件标题处写上测试代码<style><img src="</style><img src=x onerror=alert(1)//">,然后打开信件点击回复,即可触发,效果如下图:
当然仅仅是这个层次的xss,我们是无法满意的,一不够隐蔽;二不够直接,我们的要求是打开就弹。下来我们对邮箱富文本区域进行测试,测试代码
<img src=# style="display:none" onerror=alert(0)>,发送抓发,如图:
,分析发现'<'括号存在,onerror存在(多了个双引号),style存在,不存在的有等号以及等号后面紧跟的一个字母,根据几年研究邮箱xss漏洞的经验,该处只要使用3D即可击垮该富文本区域的过滤机制,重新修改测试代码为<img src=3D# style=3D"display:none" onerror=3Dalert(0)>,发信,打开信,弹框如下:
。
抓包结果展示如下:
。
至于其他的测试代码,只需要仿照上面处理下等号,即可随意实现xss。
漏洞证明:
WinMail邮件系统是公司企业、大专院校、中小学校、集团组织、政府部门的企业邮局系统架设软件。它的典型客户涵盖了政府机关、政府信息中心、税务机关、军队公安武警、法院,检察院系统、监狱系统、事业单位、新闻报社、电视媒体.....,总之使用单位相当多,但是它出xss了,并且简单绕过,使其过滤规则形同虚设,从而xss满屏跑。
xss漏洞一:不需要绕过就能触发型,方式,在邮件标题处写上测试代码<style><img src="</style><img src=x onerror=alert(1)//">,然后打开信件点击回复,即可触发,效果如下图:
当然仅仅是这个层次的xss,我们是无法满意的,一不够隐蔽;二不够直接,我们的要求是打开就弹。下来我们对邮箱富文本区域进行测试,测试代码
<img src=# style="display:none" onerror=alert(0)>,发送抓发,如图:
,分析发现'<'括号存在,onerror存在(多了个双引号),style存在,不存在的有等号以及等号后面紧跟的一个字母,根据几年研究邮箱xss漏洞的经验,该处只要使用3D即可击垮该富文本区域的过滤机制,重新修改测试代码为<img src=3D# style=3D"display:none" onerror=3Dalert(0)>,发信,打开信,弹框如下:
。
抓包结果展示如下:
。
至于其他的测试代码,只需要仿照上面处理下等号,即可随意实现xss。
修复方案:
重写富文本区域的xss过滤机制吧,另外对信件信头区域做防xss处理。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-01-22 16:29
厂商回复:
CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向软件生产厂商通报。
最新状态:
暂无