当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-06185

漏洞标题:腾讯QQ空间跨站漏洞

相关厂商:腾讯

漏洞作者: 啤酒

提交时间:2012-04-18 17:40

修复时间:2012-06-02 17:41

公开时间:2012-06-02 17:41

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-04-18: 细节已通知厂商并且等待厂商处理中
2012-04-19: 厂商已经确认,细节仅向厂商公开
2012-04-29: 细节向核心白帽子及相关领域专家公开
2012-05-09: 细节向普通白帽子公开
2012-05-19: 细节向实习白帽子公开
2012-06-02: 细节向公众公开

简要描述:

QQ空间存在一处储存型跨站

详细说明:

QQ空间应用处有一个文件夹应用,该应用可以重命名文件名,正常情况下客户端是过滤了特殊字符的。


但是特殊字符仅仅在客户端做了过滤并没有在服务端 和输出端过滤。因此我们可以通过本地修改post内容绕过这一限制


点击确定产生post


(拦截post数据修改post内容)
将name值修改为"><script>alert('by:pijiu')</script><"


回到QQ空间文件夹这时可以看到文件已经成功被重命名而且构造的 "> 已经将titile标签阻断


虽然这里没有显示alert但是可以看到<script>标签已经处在可以运行的状态了。只是需要细心构造一下就可以形成攻击。
再 抓包得到 json 在json里面 脚本畅通执行


如果有人通过腾讯其他xss获得QQ空间权限然后再修改此处可能会对受害者造成长期影响。
因此自评 rank 10

漏洞证明:



修复方案:

抓个漂亮妹纸,过滤下.

版权声明:转载请注明来源 啤酒@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-04-19 14:11

厂商回复:

非常感谢您的报告

最新状态:

暂无

漏洞评价:

评论

  1. 2012-04-18 17:55 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    有一个XSS 有一个黑阔出山!

  2. 2012-04-18 18:20 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    @疯子 前辈看笑话了,都是些没有啥技术含量的洞。

  3. 2012-04-18 19:08 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    碉堡了,这几天。。是肿么了。

  4. 2012-04-18 19:23 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @gainover 是不是最近TX更新产品?

  5. 2012-04-18 20:44 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    @Valo洛洛 @gainover 这是很早之前的洞, 今天才注册wooyun所以把以前的几个洞一起交了,反正留着也木用。

  6. 2012-04-18 20:55 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    mk

  7. 2012-05-20 02:55 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    呃,感觉和邮箱的那个方法差不多。

  8. 2012-06-02 18:03 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    有想法啊

  9. 2012-06-02 20:19 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    “虽然这里没有显示alert但是可以看到<script>标签已经处在可以运行的状态了.”----------------客串补充:这里没弹窗,是因为 文件名 是以 xxx.innerHTML=".....<script>alert(1)</script>....." 的方式进行显示的。 innerHTML里写入的<script>标签不会被运行,如果改为 <img src=1 onload=alert(1) /> 就可以运行了。

  10. 2012-06-02 20:20 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    纠正楼上,是 onerror

  11. 2012-06-02 20:35 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这么好的漏洞这么好的讨论可惜了 我也准备要刷分了

  12. 2012-06-02 23:26 | 小雨 ( 普通白帽子 | Rank:105 漏洞数:19 | phper)

    @xsser 能把乌云留个sql inj的后门,供虚荣心较强的人自助刷分么?

  13. 2012-06-02 23:28 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    @gainover 3q,之前没有去分析源代码,只是粗糙的去测试了下,看到标签有被阻断就提交了。innerHTML写入内容运行回头测试下。还没注意过

  14. 2012-06-03 10:15 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    碉堡了。。。

  15. 2012-07-02 17:18 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @gainove error弹 <script>在里面不能运行 img可以 或者用html实体化 这是个 dom xss 笔记。。分析。。