当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0110408

漏洞标题:173邮箱存储型XSS无需点击自动触发(支持所有浏览器)

相关厂商:173.com

漏洞作者: AK-47

提交时间:2015-04-26 10:43

修复时间:2015-06-10 10:44

公开时间:2015-06-10 10:44

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

173玩家口袋邮箱,由于在邮件正文中对用户输入的内容没有做好充分过滤,导致存在一处高危存储型跨站漏洞。无需用户交互,打开邮件方可自动触发,支持所有浏览器。同时不法分子可以利用该漏洞做很多对用户不利的事,包括盗取用户cookie、钓鱼、挂马、劫持用户密码、下载用户所有信件等……

详细说明:

邮箱链接:https://mail.173.com/
注册账号: 略
首先:经过一番邮件主题、发件人昵称、收件人昵称等多处输入测试,发现过滤的挺严没什么大问题。
其次:来到正文,发送如下payload

<iframe src="javascript&colon;confirm(2)"></iframe>


打开邮件便可触发,同时这种姿势支持所有浏览器,如下图:

1.png


对应源代码如下图:

2.png


备注: 后来发现使用iframe标签正常姿势也可以触发,例如:

<iframe src="javascript:alert(1)"></iframe>


再次:来弹一下cookie吧,发送如下内容: 

<iframe src="javascript:alert(document.cookie)"></iframe>


打开邮件便可看到如下景象:

3.png


最后:为了增加隐蔽性,隐藏iframe边框,构造如下完美payload:

<iframe src="javascript:alert(/xss/)" style="display:none"></iframe>


漏洞证明:

邮件内容发送如上完美payload,见下图:

4.png

修复方案:

过滤,再过滤 ……

版权声明:转载请注明来源 AK-47@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)