漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-05230
漏洞标题:中国电信某平台储存型跨站
相关厂商:中国电信
漏洞作者: pestu
提交时间:2012-03-13 14:18
修复时间:2012-04-27 14:18
公开时间:2012-04-27 14:18
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-03-13: 细节已通知厂商并且等待厂商处理中
2012-03-14: 厂商已经确认,细节仅向厂商公开
2012-03-24: 细节向核心白帽子及相关领域专家公开
2012-04-03: 细节向普通白帽子公开
2012-04-13: 细节向实习白帽子公开
2012-04-27: 细节向公众公开
简要描述:
中国电信某平台对客户提交的留言没有进行严格验证,输出到客户端时也没有进行转义导致xss漏洞。通过xss可获取管理员cookie,管理平台地址,管理员的IP地址及所使用的浏览器等信息,进而以管理员身份登录管理平台。
详细说明:
中国电信有一个中国电信互联网产品用户问题反馈平台,通过该平台用户可反馈中国电信各互联网产品的bug。如图:
由于该平台对对客户提交的留言没有进行严格验证,输出到客户端时也没有进行转义导致xss漏洞。这里选取189邮箱做测试,首先登录189邮箱,点击右上角的反馈:
打开反馈页面:
当然这里直接输入javascript脚本是不可以的,网页中有一段javascript对输入的反馈留言做了判断,由于是客户端的判断,所以很容易绕过,这里就不多说罢。
提交以下反馈至服务器
以上代码类似于
这里有个小技巧,js文件名是xss.js?1331394206172这种形式,主要是为了方便调试。
这样浏览器就会以为每次引用的js文件都是不同的,当然我们的xss.js对后面的动态数并不进行处理.这次每次读取到的都是最新的js文件,js文件修改后效果可以马上看到,非常方便.
xss.js可以是如下内容:
弹出cookie和当前的域名
域名:
当然我们也可以换成获取cookie和其他信息的js脚本。
当客服看到我们的留言时就会触发,获取到的客服cookie如下:
从上图可以看到客服IP为 59.36.102.177 经查询该IP所在地为中国广东省广州市
看来客服是在广州上网的,浏览器为IE7.
有了cookie就好办了,你懂的。
漏洞证明:
这里只对189邮箱的反馈平台作了测试,相信其他产品的反馈也存在类拟的问题。
修复方案:
对客户输入在服务器端进行过滤或对客户的留言输出时进行htmlencode
版权声明:转载请注明来源 pestu@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2012-03-14 16:38
厂商回复:
CNVD确认漏洞情况,将由CNCERT直接协调中国电信集团公司处置。鉴于pestu同学在上回已经提交了两个相似系统的XSS漏洞,该漏洞仅追加rank 5。
同时该漏洞也说明相关方有漏洞处置方面力度仍有欠缺,CNCERT也将继续监督。
最新状态:
暂无