当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-069926

漏洞标题:新浪某分站xss,存在安全隐患

相关厂商:新浪

漏洞作者: Ev1l

提交时间:2014-07-27 21:24

修复时间:2014-09-10 21:26

公开时间:2014-09-10 21:26

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-27: 细节已通知厂商并且等待厂商处理中
2014-07-28: 厂商已经确认,细节仅向厂商公开
2014-08-07: 细节向核心白帽子及相关领域专家公开
2014-08-17: 细节向普通白帽子公开
2014-08-27: 细节向实习白帽子公开
2014-09-10: 细节向公众公开

简要描述:

没时间了,急匆匆发一个吧

详细说明:

存在xss的站点是这个:

http://game.sports.sina.com.cn


首先在左侧登陆
进入个人中心,选择地址管理
可以看到

001.png


所在地区这一栏是没有限制的,其他经测试都有格式限制,此为背景
#01 Xss盲打
在地区这里我们随便填入点东西,保存后看下源码

002.png


我们查看下源代码

<tr>
<div id='mail_id_0' mail_id="2400"></div>
<td>乌云</td>
<td>北京 北京市</td>
<td>乌云白帽子Ev1l</td>
<td>100000</td>
<td>13155555555</td>
<td>
<a id="default_address_btn_0" style="color: #ff0000;">默认</a><br />
<a id="alter_address_btn_0" href="#mao_address" >修改</a>┆<a id="delete_address_btn_0" >删除</a>


发现我们输入的数据都是td标签内
那就闭合td标签,发现完全没有过滤直接可以显示如下结果

<td>乌云</td>
<td>北京 北京市</td>
<td></td>Ev1l@wooyun<td></td>
<td>100000</td>
<td>13111111111</td>
<td>


003.png


#02 插入xss及信息问题
既然这样就直接插xss

004.png


点击保存后马上就弹出了一个cookie的框

005.jpg


因为用的自己新浪账号登陆的,所以抹掉一部分,从cookie中可以看出包含了用户名、账号、IP、手机号、性别等绝大多数信息
#03 继续猜想
既然我们可以自行获取cookie,那如果我们保存好之后让数据发送到后台,岂不是可以劫持管理员的cookie?由于时间原因没有进一步测试,不过理论来说是可以的,就是我们随机购买一件东西,选择指定的发货地址,那么数据肯定会传送到后台

漏洞证明:

存在xss的站点是这个:

http://game.sports.sina.com.cn


首先在左侧登陆
进入个人中心,选择地址管理
可以看到

001.png


所在地区这一栏是没有限制的,其他经测试都有格式限制,此为背景
#01 Xss盲打
在地区这里我们随便填入点东西,保存后看下源码

002.png


我们查看下源代码

<tr>
<div id='mail_id_0' mail_id="2400"></div>
<td>乌云</td>
<td>北京 北京市</td>
<td>乌云白帽子Ev1l</td>
<td>100000</td>
<td>13155555555</td>
<td>
<a id="default_address_btn_0" style="color: #ff0000;">默认</a><br />
<a id="alter_address_btn_0" href="#mao_address" >修改</a>┆<a id="delete_address_btn_0" >删除</a>


发现我们输入的数据都是td标签内
那就闭合td标签,发现完全没有过滤直接可以显示如下结果

<td>乌云</td>
<td>北京 北京市</td>
<td></td>Ev1l@wooyun<td></td>
<td>100000</td>
<td>13111111111</td>
<td>


003.png


#02 插入xss及信息问题
既然这样就直接插xss

004.png


点击保存后马上就弹出了一个cookie的框

005.jpg


因为用的自己新浪账号登陆的,所以抹掉一部分,从cookie中可以看出包含了用户名、账号、IP、手机号、性别等绝大多数信息
#03 继续猜想
既然我们可以自行获取cookie,那如果我们保存好之后让数据发送到后台,岂不是可以劫持管理员的cookie?由于时间原因没有进一步测试,不过理论来说是可以的,就是我们随机购买一件东西,选择指定的发货地址,那么数据肯定会传送到后台

修复方案:

开除运维,
把"<"、">"进行完美的转意
过滤一些特殊字符

版权声明:转载请注明来源 Ev1l@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-07-28 17:18

厂商回复:

已经有白帽子向我们反馈,已通知开发人员及时修复,感谢对新浪安全的支持。

最新状态:

暂无