当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07887

漏洞标题:”用qq登陆“api接口xss

相关厂商:腾讯

漏洞作者: random_

提交时间:2012-06-05 13:44

修复时间:2012-07-20 13:45

公开时间:2012-07-20 13:45

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-05: 细节已通知厂商并且等待厂商处理中
2012-06-06: 厂商已经确认,细节仅向厂商公开
2012-06-16: 细节向核心白帽子及相关领域专家公开
2012-06-26: 细节向普通白帽子公开
2012-07-06: 细节向实习白帽子公开
2012-07-20: 细节向公众公开

简要描述:

“用qq登录”是一种快捷登录方式。现在很多论坛都使用第三方登陆,如用微博账号登陆、用人人账号登陆、用搜狐账号登陆等。由于qq的平台基础,用qq登陆使用人数最多,dz论坛附带用qq登录功能,使用率很高。

详细说明:

这是一个由应用程序qq.exe导致的网站的xss,而且波及较广。
一部分已提交到腾讯漏洞平台,但不被重视,而且反馈很慢。
所以就把最新的发现报告给乌云。

漏洞证明:

【证明】



api地址:http://qzonestyle.gtimg.cn/qzone/openapi/qc-1.0.1.js
【举例】
豆丁文档用qq登陆导致xss


CNTV


优酷


修复方案:

对api过滤。对程序昵称转意后保存。

版权声明:转载请注明来源 random_@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-06-06 09:41

厂商回复:

非常感谢你的报告,我们已经在解决此类问题

最新状态:

暂无

漏洞评价:

评论

  1. 2012-06-05 13:53 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

  2. 2012-06-05 14:45 | Adra1n ( 普通白帽子 | Rank:437 漏洞数:68 )

    mark

  3. 2012-06-05 18:35 | adwin ( 普通白帽子 | Rank:112 漏洞数:11 | 小菜请多指教。)

    马,要火

  4. 2012-07-20 14:43 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这个很有意思,官方的文档里应该给出一个提示请进行安全过滤,相信很多网站会漏掉吧

  5. 2012-07-20 14:53 | 呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)

    @xsser 第三方网站是调用腾讯js实现的,数据是腾讯自己输出的,应该是由腾讯js自己来过滤最方便,第三方做的话难度太大,而且兼容性差。不过这种都是调用自己的数据,危害小一点

  6. 2012-07-20 15:02 | Cp0204 ( 实习白帽子 | Rank:37 漏洞数:4 | 著名艺术家)

    @xsser 我想说的是…这不是自己的资料吗?自己改昵称来跨自己?...

  7. 2012-07-20 15:04 | 呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)

    @Cp0204 只能说危害小,有时候看应用场景

  8. 2012-07-20 15:07 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @呆子不开口 不是这样吧,第三方给出了昵称后,应用是要入库的,这就可能产生SQL注射,而如果是要把昵称显示到其他地方就可能导致xss,不过洞主没有把这个逻辑往下走而已

  9. 2012-07-20 15:20 | Cp0204 ( 实习白帽子 | Rank:37 漏洞数:4 | 著名艺术家)

    @xsser 明白了,就是说,第三方站的其它用户看你的资料,这样来xss…

  10. 2012-07-20 15:26 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Cp0204 别这么想啊 看你资料是一部分 你还可以主动利用其他可能使用昵称的地方啊

  11. 2012-07-20 15:49 | 呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)

    @xsser 我是针对这个漏洞来说的,这个漏洞是用的腾讯的jssdk,这个漏洞是出在腾讯生成的登陆后状态的代码html,看此页,http://wiki.opensns.qq.com/wiki/%E3%80%90QQ%E7%99%BB%E5%BD%95%E3%80%91JS_SDK%E4%BD%BF%E7%94%A8%E8%AF%B4%E6%98%8E#2.4._.E6.A3.80.E6.B5.8B.E5.BD.93.E5.89.8D.E7.99.BB.E5.BD.95.E7.8A.B6.E6.80.81 。给网站用户的使用是很简单的代码,<script type="text/javascript"> QC.Login({ btnId:"qqLoginBtn" //插入按钮的节点id});</script>,所以说用户在这个层面来改的话难度很大,这块得官方自己做比较合适。你说的问题是api接口的问题,jssdk里也有方法,网站可以调用来获得用户信息,当然这个时候数据的安全就得站方自己负责了,如果站方走的自己的注册接口有漏洞的话,那说明他原来的注册接口就是有漏洞的

  12. 2012-07-20 15:53 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    人才啊..

  13. 2012-07-20 16:10 | Cp0204 ( 实习白帽子 | Rank:37 漏洞数:4 | 著名艺术家)

    @xsser 只是其中一种设想嘛,一般发帖什么的都会展示资料的,场景就丰富了

  14. 2012-07-20 16:20 | Jesus ( 实习白帽子 | Rank:60 漏洞数:18 | 天地不仁,以万物为刍狗!)

    关注新思维

  15. 2012-07-20 17:13 | PiaCa ( 普通白帽子 | Rank:129 漏洞数:10 | 简单点!啪......嚓~~)

    这个接口前两天还看到过呢,很多地方都只是进行了js编码,并且没有指定Content-Type,当时只是觉得可以在腾讯某处利用,但是没想到却能够应用到第三方网站,不错

  16. 2012-07-20 17:14 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @PiaCa 鄙视不通过乌云报漏洞的人

  17. 2012-07-20 17:23 | PiaCa ( 普通白帽子 | Rank:129 漏洞数:10 | 简单点!啪......嚓~~)

    @xsser 我有的好不啦,只是最近开了点小差。

  18. 2012-07-20 17:28 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @PiaCa 下次见面别怪我不和你打招呼 哼哼

  19. 2012-07-20 17:30 | 呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)

    @PiaCa 你不通过乌云报漏洞的话,你这辈子注定得不到小雪,以后有机会笔者在微博上传授你一些爱情的心得

  20. 2012-07-20 17:42 | PiaCa ( 普通白帽子 | Rank:129 漏洞数:10 | 简单点!啪......嚓~~)

    @xsser 我今天会在你家门口守着你的。@呆子不开口 少年,小雪是注定不会跟你的,先为你默哀下!

  21. 2012-07-20 17:42 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    这个有意思

  22. 2012-07-20 20:28 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    ...