漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-022491
漏洞标题:新浪某分站持久xss,配合csrf危害更大(四)
相关厂商:新浪
漏洞作者: px1624
提交时间:2013-04-25 15:03
修复时间:2013-06-09 15:03
公开时间:2013-06-09 15:03
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:12
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-04-25: 细节已通知厂商并且等待厂商处理中
2013-04-25: 厂商已经确认,细节仅向厂商公开
2013-05-05: 细节向核心白帽子及相关领域专家公开
2013-05-15: 细节向普通白帽子公开
2013-05-25: 细节向实习白帽子公开
2013-06-09: 细节向公众公开
简要描述:
位置是在个人资料的位置,别人也可以通过uid的链接访问。也可以将xss链接发到博客社区等位置利用get此链接的csrf进行xss的攻击。
影响整个sina.com.cn域名下的所有产品。噢,还可以蠕虫额、、、到最后,发现了一个更坑的事情。。。
详细说明:
1 xss位置,新浪 李宁个人空间签名位置。
2 测试地址:
3 前端限制了长度,服务器端啥都没限制。直接charles发包就可以了。
图1
4 别人访问主页的效果,也会中招,可以通过url直接访问,也可以通过其他超链接。
图2
5 配合csrf利用。
6 在博客发一个图,把<img>的src设置为指定的xss链接地址。看到博客,就会中csrf,从而中xss。
图3
7 证明。刷新博客页面,可以看到有get那个xss页面,并且refer是博客的那个地址。
图4
8 小号的cookie证明。cookie只是为了证明自己插入的调用js文件的代码被成功执行了。
图5
9 这里也顺便说一下另一个csrf吧,你们工作人员说内部已经提前发现了,我这里就提提吧。
在6的那个图中还有一个csrf
csrf地址
(uid这里是我自己的)
效果可以对 新浪李宁 指定用户加关注。原因是因为程序员偷懒了,本来是一个post请求,结果把post请求改成get,也可以成功执行。
图6
10 蠕虫证明。修改签名的post数据中,啥验证都么有。这里直接把xss的请求写到自己服务器的js中就可以了。这里就不多做演示了、、、
图7
11 到这里,我觉得已经危害比较大了,但是随手试了试,又发现了一个更坑爹的事情。。。导致危害进一步升级。
把10中的post数据改成get请求,擦!成功了。。。
图8
9
这明显也是一个csrf了,利用方法同上,直接csrf+xss了。。。随便去社区之类的地方<img>插src吧、、、
12 看上面的图,感觉貌似这里还存在反射型xss,试了试,直接get的话。诶,还是有做过滤的额。。。
图10
如上图,没过滤"><等字符,过滤了 sript onerror= 之类的代码
漏洞证明:
如上描述证明,很详细了。这个站,问题蛮多的额。。。我很可耻的在这里刷了好几个漏洞了。。。。你们要么自己彻底的自查下?
修复方案:
csrf的问题,严格的判断post refer等,加token。。
xss的过滤下特殊字符。
最后,该post的时候,还是要post啊,偷懒的话,很容易悲催诶。。。
版权声明:转载请注明来源 px1624@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-04-25 15:22
厂商回复:
感谢提供,已安排人员进行修复。
最新状态:
暂无