当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-095789

漏洞标题:音悦台空间日志/饭团正文存储型XSS(2)

相关厂商:音悦台

漏洞作者: 我是小号

提交时间:2015-02-06 10:26

修复时间:2015-03-23 10:28

公开时间:2015-03-23 10:28

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-06: 细节已通知厂商并且等待厂商处理中
2015-02-06: 厂商已经确认,细节仅向厂商公开
2015-02-16: 细节向核心白帽子及相关领域专家公开
2015-02-26: 细节向普通白帽子公开
2015-03-08: 细节向实习白帽子公开
2015-03-23: 细节向公众公开

简要描述:

基于黑名单的XSS Filter绕过缺陷

详细说明:

音悦台的Editor被用在了空间日志和饭团两处位置,一开始测试的时候尝试了很多HTML5标签和事件属性,发现传到服务器进行处理以后都会被“吃掉”,于是碌碌无为灰心了一上午。
http://i.yinyuetai.com/i/8982483/blog/detail/809858
中午吃过饭改变了一下测试思路,看了一下发现Editor允许的标签中有<span>这个用来组合文档中的行内元素的标签,它的style属性是可以自定义样式的的,于是就尝试了一下expression(用来把CSS属性和Javascript表达式关联起来)

<p><span style="background-color:expression(alert(1));">Fuzz1111</span></p><p></p><p><br /></p>


使用Fiddler改包提交:

06.png


返回状态码表示成功

漏洞证明:

提交成功以后跑到前台看一下:

02.png


发现插入成功了,但是Firefox和IE11都不弹,可是明明插入成功了呀!
正在这时blast提醒我:

Starting with Internet Explorer 11, CSS expressions are no longer enabled for webpages loaded in the Internet zone.


于是马上IE下F12切换到IE7兼容模式

03.png


弹窗成功

01.png


所以前面一个报告提到音悦台cookies没有做http-only保护,我们可以再次利用这个漏洞窃取cookies登陆任意账户了。

修复方案:

xss filter完善

版权声明:转载请注明来源 我是小号@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-02-06 10:48

厂商回复:

谢谢关注音悦台,马上修复

最新状态:

暂无