当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013794

漏洞标题:手机淘宝网session劫持,可进一步发展为蠕虫

相关厂商:淘宝网

漏洞作者: seclab_zju

提交时间:2012-10-23 15:05

修复时间:2012-12-07 15:06

公开时间:2012-12-07 15:06

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-10-23: 细节已通知厂商并且等待厂商处理中
2012-10-23: 厂商已经确认,细节仅向厂商公开
2012-11-02: 细节向核心白帽子及相关领域专家公开
2012-11-12: 细节向普通白帽子公开
2012-11-22: 细节向实习白帽子公开
2012-12-07: 细节向公众公开

简要描述:

手机淘宝网用户登录的session id可以被劫持,劫持后可替代用户操作发布虚假恶意信息。

详细说明:

手机用户登录淘宝网m.taobao.com,获得的session id被存储在URL内(因为有的手机不支持cookie,加之cmwap下的cookie双重管理问题),并被放入了随后该用户的所有访问链接内。如果存在外链从m.taobao.com/somepage?sid=xxxx到hacker.com,那么hacker.com的访问记录里就可以看到如下的http header:

Host: hacker.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.4
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer: http://m.taobao.com/somepage?sid=xxxx
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3


其中Referer的信息包涵sid,从而导致session被劫持。
进一步,当hacker获得sid后,可以以该用户身份向其SNS好友发送类似外链,如果好友正好也是从手机浏览器登入,也会被劫持sid,进而发展成蠕虫。

漏洞证明:


(左)用户登录手机淘宝网,所有链接均带有sid=68d5...作为登录凭证;(中)登入后的用户点击外链sid.f3322.org;(右)sid.f3322.org的所有者用php读出受害者访问该域使用的http header。

修复方案:

禁止外链会影响用户体验。最好的办法是像新浪微博那样用<meta>跳转,对主流浏览器都不会留下Referer trace。不能采用301/302跳转。
除了用户可以post的恶意外链以外,m.taobao.com下面还有很多外链是指向合作站点的,同样会向对方泄漏sid,但是危害没有上面说的那么大,除非合作站点是竞争对手要恶意控制淘宝用户。我这里用python扫出来的link有到360buy、weibo、tudou、youku、baidu几十个域名的,具体你们可以从一个已登录URL开始用spider扫一遍。

版权声明:转载请注明来源 seclab_zju@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-10-23 16:54

厂商回复:

感谢seclab_zju的投递,我们已经强制m.taobao.com域禁止外联。

最新状态:

2012-10-23:呃,写错了,其实我们是强制tui.m.etao.com域禁止外联……