当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013419

漏洞标题:迅雷一处成因很诡异的xss+服务器信息泄漏

相关厂商:迅雷

漏洞作者: xsjswt

提交时间:2012-10-16 18:36

修复时间:2012-10-21 18:36

公开时间:2012-10-21 18:36

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-10-16: 细节已通知厂商并且等待厂商处理中
2012-10-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

迅雷一处成因很诡异的xss+服务器信息泄漏

详细说明:

http://click.cm.sandai.net/UClick?gs=cmuclick&ad=1&location=xx
这个链接没有对location做检查,直接拿来做http header的location输出了,那么最直接的,产生一个任意地址跳转的漏洞。


这样来看,很多http header的location利用就限制在任意跳转了,利用范围顿时觉得小了很多。( WooYun: 腾讯URL跳转 & XSS 这个帖子说opera的location是可以X的,但是没有装,也不了解,先这样吧)。
接下来想的,自然是给location提交一些其他奇葩的值,比如回车之后再输出一个location,浏览器会怎么解析这个http头呢?不过就这时,神奇的事情发生了:


很明显的,程序框架或者语言本身防范了回车这个问题,或者说很严格的执行了http的标准,导致这样的输出是不被认可的。。。。
但是细心的洞主立即想到了另外一个问题,这个出错信息会不会没有过滤?立即尝试下。。。。果然不会过滤


注意到服务器返回的conten-type是text/plain;,所以几乎对IE以外的浏览器没有影响了


一些web应用没有关闭错误显示,并且很直接没有过滤的把错误信息显示出来,至少这是我第二次遇到错误信息导致的xss了。

漏洞证明:

先发个黄图
见详细描述

修复方案:

球迅雷会员卡或者迅雷t-shirt,去年签约时候发的几张卡和衣服被同学抢走了

版权声明:转载请注明来源 xsjswt@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-10-21 18:36

厂商回复:

最新状态:

2012-10-22:感谢反馈,早上一来收到的wooyun通报邮件,不过上来一看,居然被忽略了!诡异!我们马上进行处理!


漏洞评价:

评论

  1. 2012-10-21 19:13 | hqdvista ( 普通白帽子 | Rank:154 漏洞数:31 | N/A)

    ym被迅雷挖走的洞主!

  2. 2012-10-22 10:32 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    @hqdvista xsser为了不给我得rank,帮迅雷忽略了。。。嗯,应该是这样的。我还有另外提交了一个迅雷漏洞一箩筐,他们就不审核

  3. 2012-11-01 13:48 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    主要是处理Java异常时,开发人员习惯不好,主动去接管了异常信息的处理,但又随意向外抛,形成XSS! <<j2ee异常信息处理形成的XSS>>也可以算是个话题,很普遍!