漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-013794
漏洞标题:手机淘宝网session劫持,可进一步发展为蠕虫
相关厂商:淘宝网
漏洞作者: seclab_zju
提交时间:2012-10-23 15:05
修复时间:2012-12-07 15:06
公开时间:2012-12-07 15:06
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-10-23: 细节已通知厂商并且等待厂商处理中
2012-10-23: 厂商已经确认,细节仅向厂商公开
2012-11-02: 细节向核心白帽子及相关领域专家公开
2012-11-12: 细节向普通白帽子公开
2012-11-22: 细节向实习白帽子公开
2012-12-07: 细节向公众公开
简要描述:
手机淘宝网用户登录的session id可以被劫持,劫持后可替代用户操作发布虚假恶意信息。
详细说明:
手机用户登录淘宝网m.taobao.com,获得的session id被存储在URL内(因为有的手机不支持cookie,加之cmwap下的cookie双重管理问题),并被放入了随后该用户的所有访问链接内。如果存在外链从m.taobao.com/somepage?sid=xxxx到hacker.com,那么hacker.com的访问记录里就可以看到如下的http header:
其中Referer的信息包涵sid,从而导致session被劫持。
进一步,当hacker获得sid后,可以以该用户身份向其SNS好友发送类似外链,如果好友正好也是从手机浏览器登入,也会被劫持sid,进而发展成蠕虫。
漏洞证明:
(左)用户登录手机淘宝网,所有链接均带有sid=68d5...作为登录凭证;(中)登入后的用户点击外链sid.f3322.org;(右)sid.f3322.org的所有者用php读出受害者访问该域使用的http header。
修复方案:
禁止外链会影响用户体验。最好的办法是像新浪微博那样用<meta>跳转,对主流浏览器都不会留下Referer trace。不能采用301/302跳转。
除了用户可以post的恶意外链以外,m.taobao.com下面还有很多外链是指向合作站点的,同样会向对方泄漏sid,但是危害没有上面说的那么大,除非合作站点是竞争对手要恶意控制淘宝用户。我这里用python扫出来的link有到360buy、weibo、tudou、youku、baidu几十个域名的,具体你们可以从一个已登录URL开始用spider扫一遍。
版权声明:转载请注明来源 seclab_zju@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2012-10-23 16:54
厂商回复:
感谢seclab_zju的投递,我们已经强制m.taobao.com域禁止外联。
最新状态:
2012-10-23:呃,写错了,其实我们是强制tui.m.etao.com域禁止外联……
漏洞评价:
评论
-
是不是可以将sid和cookies里的某个值进行校验,这样就会提示没有操作权限,禁止域外链感觉体验很不好
( 普通白帽子 | Rank:686 漏洞数:101 )