漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-025415
漏洞标题:大学生网商大赛 多处存储型XSS Cookie关键字段未设httpOnly 可修改委员、选手作品等(第一波)
相关厂商:大学生网络商务创新应用大赛
漏洞作者: 叶问
提交时间:2013-06-08 10:47
修复时间:2013-07-23 10:47
公开时间:2013-07-23 10:47
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-08: 细节已通知厂商并且等待厂商处理中
2013-06-12: 厂商已经确认,细节仅向厂商公开
2013-06-22: 细节向核心白帽子及相关领域专家公开
2013-07-02: 细节向普通白帽子公开
2013-07-12: 细节向实习白帽子公开
2013-07-23: 细节向公众公开
简要描述:
某处由于没过滤任何字符串,导致存储型XSS(第一枚),cookie验证的关键字段.ASPXAUTH未设置httpOnly,不仅能登陆大赛管理员、委员、企业教官、指导老师、参赛选手的账号,而且对用户的参赛作品等数据拥有增删改的权限。
感觉该网站的用户和数据还是比较重要的,这是网站通稿,头衔很大,漏洞也很大:
2013年3月20日,由工业和信息化部指导、教育部支持、中国互联网协会主办、中国邮政储蓄银行主协办的全国性大学生互联网公益赛事——“邮储银行杯第六届全国大学生网络商务创新应用大赛”在北京师范大学正式启动。
PS: 除了这个还有几个更严重的洞,等我测试完再发。
详细说明:
一、此XSS原因与危害。
“参赛历程博文”的标题处没过滤任何字符,只是限定了最大输入为50个字符。 可以通过调用外部JS文件,或者发表多篇文章,拆分xss代码到多个标题中来达到利用的目的。
而在其cookie中,有一个字段ASP.NET_SessionId是设置了httpOnly。但经过试验证明,上面那个httpOnly是吓人的,登陆别人的账号只需字段.ASPXAUTH,而且它不是httpOnly。
由此可见,通过这个XSS拿到的Cookie用处不小。
二、此XSS点之所在
1.在个人页面里面左下角,选择提交博文。
2.发表一篇博文标题为:
3.立马出现“尼玛world”的字样,很好。
尼玛,似乎没过滤任何字符啊有木有。
4.继续编辑或发表一篇博文标题为:
结果关键字段在cookie中暴露出来了:
三、突破标题50个字符的限制
1.</h1><script> 这里可以放25个字符 </script><h1> 显然,25个字符对调用于外部js来说,已经非常非常足够了,所以很危险。
2.假如不想调用外部js,那就写多几个文章,把xss代码拆分到几个文章的标题里面,大家懂的,但要注意时间顺序,越晚编辑或表的文章会跑到越前,倒叙一下就OK。
漏洞证明:
直接上cookie,红色部分为登陆验证的关键字段,未设httpOnly:
PS: 还有很多洞,等我测试完再发。
修复方案:
1.过滤、转换特殊字。
2.httpOnly设置在关键字段。
版权声明:转载请注明来源 叶问@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-06-12 20:26
厂商回复:
最新状态:
暂无