漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-094621
漏洞标题:人人网社团人某功能可导致蠕虫(XSS过滤分析与绕过技巧)
相关厂商:人人网
漏洞作者: g0odnight
提交时间:2015-01-30 11:18
修复时间:2015-03-16 11:20
公开时间:2015-03-16 11:20
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-30: 细节已通知厂商并且等待厂商处理中
2015-01-30: 厂商已经确认,细节仅向厂商公开
2015-02-09: 细节向核心白帽子及相关领域专家公开
2015-02-19: 细节向普通白帽子公开
2015-03-01: 细节向实习白帽子公开
2015-03-16: 细节向公众公开
简要描述:
==、今年1月初就挖到了...一直没提交,刚刚看了下竟然被补了......好伤心,也没看到有别的白帽子提交....尝试绕过之...具体看下面
详细说明:
话说这里最初只做了前台过滤,抓包改下就可以上传任意长度的脚本了,所以在这里写蠕虫不用考虑跨域问题,不过&符号莫名其妙会被吃掉,不过没太大问题,后来也没提交。今天看了下发现漏洞被补了,不单单前台过滤。后台也进行了关键字检测比如<script>和一些别的关键字。虽然svg没过滤可以进行弹窗,但是不知道为什么以跟上资源链接就处问题,不过最后还是成功触发了。具体看下嘛截图吧,最初的测试我没截多少图,今天的多截几张补上来吧。用的游览器是火狐和chrome。
在填写活动介绍这边过滤不严,前台可以用抓包改包解决,后台的过滤不严密。
下面是第一次测试的时候,后台完全没有过滤,直接可以改包写入<script>xxxxx。
今天看的时候就这样了,后台加入了关键字过滤。
不过对svg没有过滤。但是后面不知道为什么svg/onload后面请求资源链接一直不能成功
就换了一下,顺带外链重新编码。另外重新编码的时候发现对script如果像这样
就无法过滤了,应该是对编码后的数据都没有进行检测,只检测没有编码的。
附带几个svg的测试代码
我用一个账号是用火狐浏览器发布,然后用另一个账号通过chrome账号去访问,成功获得cookie,且可劫持。
由于社团人可以直接发布到人人主站,同时是专门针对大学生的(多好的鸡),可用作蠕虫。这里附上获取用户信息如电话号码、扣扣之类信息的一小段poc。域内访问m.renren.com然后调用。
匹配姓名,女神的姓名就打马赛克了。
女神QQ才不给你们
话说很快就删掉了测试用的活动,没有造成啥影响,跪求rank。红圈中显示活动取消。
漏洞证明:
看上面
修复方案:
要过年了诶。后台过滤规则添加详细。话说人人不能用http-only的花为什么主站不采用csp去完整覆盖?
版权声明:转载请注明来源 g0odnight@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:9
确认时间:2015-01-30 13:13
厂商回复:
谢谢
最新状态:
暂无