当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-016127

漏洞标题:腾讯应用平台XSS攻击指定任意用户

相关厂商:腾讯

漏洞作者: 鬼魅羊羔

提交时间:2012-12-17 10:26

修复时间:2013-01-31 10:27

公开时间:2013-01-31 10:27

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-12-17: 细节已通知厂商并且等待厂商处理中
2012-12-17: 厂商已经确认,细节仅向厂商公开
2012-12-27: 细节向核心白帽子及相关领域专家公开
2013-01-06: 细节向普通白帽子公开
2013-01-16: 细节向实习白帽子公开
2013-01-31: 细节向公众公开

简要描述:

腾讯应用平台XSS,可以通过邮箱验证攻击指定用户。。百发百中。。

详细说明:

起因是这样的,公司名称处没有过滤特殊字符,导致可以直接输入XSS
既然单位名称没有做过滤,而填写信息后,腾讯会发送一封验证邮件到指定邮箱中,那么我们任意添加XSS语句后,针对特定的用户进行XSS攻击,也是可以实现的。
问题就出来了,应用平台验证的时候,会给指定用户发送验证邮件,邮件内容中就包含了我们之前输入的XSS语句,可导致攻击指定用户。。
蠕虫神马的就不测试了,直接发出来吧。。。虽然肯定不会给礼物。。。
看图吧。。

1.png


2.png


3.png

漏洞证明:

如上图。。

修复方案:

过滤。。还是过滤。。。

版权声明:转载请注明来源 鬼魅羊羔@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-12-17 17:22

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-12-17 10:28 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    DZ这是正式开始了么?

  2. 2012-12-17 10:33 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @se55i0n 嗯?不是DZ的,,

  3. 2012-12-17 10:53 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    @鬼魅羊羔 DZ=洞主

  4. 2012-12-17 11:11 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @qiaoy 好吧,我又OUT了。。。谁叫这厮装文化人儿,不说中文。。

  5. 2012-12-17 11:12 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @se55i0n 鄙视不说中文的。。

  6. 2012-12-17 11:15 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @鬼魅羊羔 ...小学文化...拼音代替...这都要被鄙视...

  7. 2012-12-17 11:18 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @se55i0n 以后不会的画圈。。

  8. 2012-12-17 11:19 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    我发现我的标题名字……好2。。。忘了改了。。

  9. 2012-12-17 11:24 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    刚刚在才群里面讨论,你就发送上来了。。。

  10. 2012-12-17 11:36 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @疯子 这叫速度哈。。我发现了,腾讯貌似对奖品这些不给力啊。。

  11. 2012-12-17 12:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    给力!!!

  12. 2012-12-17 12:44 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @xsser 我会害羞的。。

  13. 2012-12-17 13:47 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @鬼魅羊羔 00000

  14. 2012-12-17 16:21 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    看到漏洞详情、我当时就石化了!

  15. 2012-12-17 17:06 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @Coody 你能看到漏洞详情?

  16. 2012-12-17 17:31 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @疯狗 我俩一个公司。。

  17. 2012-12-17 18:11 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @鬼魅羊羔 懂了 :)

  18. 2012-12-18 17:26 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @xsser 我后悔了。。可以拿妹纸的cookie,多爽。。。我后悔了 ,,,

  19. 2012-12-18 17:52 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    愁死了,提交早了。。对方的安全中心、空间、微博、都能直接拿下的。。。哎。。被某人骂死了。。

  20. 2012-12-18 18:47 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @鬼魅羊羔 额,那样得话rank会翻一番么?

  21. 2012-12-18 18:51 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @疯狗 不会,但是……只要对方打开邮件,截获cookie,想干什么干什么,空间啊、邮件啦、安全中心啦、微博什么的。。测试都通过。。

  22. 2012-12-18 18:52 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @疯狗 本来想用这个社几个人的,手快。。先提交了。。

  23. 2012-12-18 20:37 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @鬼魅羊羔 你试试 空间和邮件的cookies是分开的,估计为了修复邮箱能用一个二级域名的反射型搞全站的问题改的把,反正都没httponly

  24. 2012-12-18 20:46 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小胖胖要减肥 我试了,空间、邮件、安全中心、微博,都能通用啊。。

  25. 2012-12-18 21:14 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @鬼魅羊羔 你开虚拟机先登qq再登邮箱看看,我这里需要再次输入密码

  26. 2012-12-18 21:36 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小胖胖要减肥 都测试过了,用火狐浏览器改的cookie,跟金山的朋友一起测试的,完全OK。。。

  27. 2012-12-18 22:06 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @鬼魅羊羔 你发给我我测试看看呗,你获取的是应用平台的cookies是吧

  28. 2012-12-18 22:13 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小胖胖要减肥 漏洞今天下午6:10分左右修复的,没用了。。不是平台cookie,反正也修补了,我就说下吧。大概过程是这样的,他有个输入地方,么有做过滤,可以XSS,而且平台在注册时,会将你的注册信息发送给指定邮箱进行激活,很巧的是,激活邮件的内容中,包含了没有做过滤的那一段,我的用法是,添加完XSS后,将包含有XSS语句的邮件,发送到要攻击的邮箱中,当打开含有XSS语句的邮件,即可触发,然后获取cookie。。经过测试,此cookie可以在QQ空间、微博、邮箱、安全中心通用,也包括各类需要登录的腾讯业务网站等。。

  29. 2012-12-18 22:14 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小胖胖要减肥 所以我说,腾讯给10rank ,我感觉很郁闷。。。提交的有点早了。。。

  30. 2012-12-18 22:15 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小胖胖要减肥 这个你可以问问9楼的疯子,我们在金山内部群测试过了,cookie可以登录各类业务。。。

  31. 2012-12-18 22:26 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @鬼魅羊羔 懂了 这样其实就造成了一个子站的存储型cookies但最后到邮件起作用了,反而把邮件的cookies给盗了是吧,还是能指定邮箱用户的,还看看发邮件有没有限制,可不可以遍历qq发

  32. 2012-12-18 22:29 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @小胖胖要减肥 这光荣的任务就给你了

  33. 2012-12-18 22:31 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @鬼魅羊羔 @xsser 你知道我最喜欢干这个 哈哈,不过鬼妹说都修复了,如果真可以遍历qq号等于官方发xss,这个绝对精彩啊,不过一般很多用户也不看邮件的

  34. 2012-12-18 22:34 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小胖胖要减肥 其实说简单点,就是利用平台的邮件发送功能,获取了邮件的COOKIE。。我估计很多站点都有这个问题啊。。我在想,凡是可以通过QQ邮箱激活的各大站点,也就是说,在其他网站注册,将注册信息反回给QQ邮箱的话,如果也存在某处过滤不严,恰巧也包含在了注册时邮件的内容中,是不是也能达到这样的效果?今天也找到了一处,但是郁闷的时,接收反馈信息的邮箱地址是可控的,但是,你改了也白改,它会自动以你登陆的QQ号为准,真不知道那个功能是干啥用的。。想抓包更改也不行。。哎哎。。

  35. 2012-12-18 22:38 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @鬼魅羊羔 这个问题其实只要邮件内容显示的时候做下处理就可以了,每行限制显示字符数,但显示出来的邮件不会换行,我们公司就是这么搞的,就导致没法构造xss了

  36. 2012-12-18 22:41 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小胖胖要减肥 反正这次腾讯修复的很恶心。。无从下手了。。本来是主体名称处没做过滤,后来发现,password这个地方,也可以插入XSS。。但是后来,所有的输入,都变成文本了。。啥都不能执行了。。

  37. 2012-12-18 22:43 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @鬼魅羊羔 如果邮件内容没有强制换行,在邮件内容里面构造看看,就像g牛之前发的一个4个图片名称和xss的

  38. 2012-12-18 22:44 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小胖胖要减肥 我给你发地址,你继续试试吧。。