漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-04719
漏洞标题:中国电信旗下21CN免费邮箱跨站一枚
相关厂商:中国电信
漏洞作者: pestu
提交时间:2012-02-22 16:14
修复时间:2012-04-07 16:15
公开时间:2012-04-07 16:15
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:5
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-02-22: 细节已通知厂商并且等待厂商处理中
2012-02-22: 厂商已经确认,细节仅向厂商公开
2012-03-03: 细节向核心白帽子及相关领域专家公开
2012-03-13: 细节向普通白帽子公开
2012-03-23: 细节向实习白帽子公开
2012-04-07: 细节向公众公开
简要描述:
21CN网站(世纪龙信息网络有限责任公司)成立于1999年,是中国电信集团绝对控股的子公司,中国十大门户之一,也是华南最大的门户网站。
提前之前先搜索了一下,找到一个和21cn邮箱有关的http://www.wooyun.org/bugs/wooyun-2010-04175
被忽略了,当然我提交的和这个不一样。
21cn是中国电信189邮箱的开发商,有相同的漏洞一点也不奇怪。貌似我再提交有刷rank的嫌疑了。主要是想和大家分享一下学习心得。
详细说明:
当发送含有javascript脚本的邮件至21cn邮箱时,由于输出邮件正文时没有对特殊关键字进行过滤导致XSS。在邮件正文中插入以下代码
当用户打开含有以上代码的邮件时,会自动调用http://stunote.sinaapp.com/xss.js
xss.js的内容为:
当然你也可以执行任意的javasrcipt脚本。比如盗取cookie,引到用户至恶意网站,设置自动转发等。
以上代码参考了 WooYun: QQ邮箱XSS,音乐功能导致邮件加载任意javascript
21cn的免费邮箱有一个自动转发的功能。如图:
设置自动转发时提交至服务器的参数如下:
其中active=true表示转发,addresses=转发到哪个邮箱,backup=是否保留邮件备份。
比较典型的http外如下:
因此通过CSRF设置转发或盗取cookie后设置邮件转发是非常容易的事情,设置成功后所有的新邮件都会转发至攻击者的邮箱。
漏洞证明:
把客户引导至wooyun
弹窗1
弹窗2
修复方案:
网易是把一些危险标签如onload,onerror等替换成on_load,on_error,而腾讯和新浪等则是直接干掉这些危险标签。
版权声明:转载请注明来源 pestu@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:2
确认时间:2012-02-22 22:13
厂商回复:
根据描述内容,先行给予确认,时间关系,暂未进行复现。rank 2。
同时根据此前通报内容再次简要通报中国电信集团公司(明天上班后)。
最新状态:
暂无