漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-016934
漏洞标题:蘑菇街xss两枚,绕过滤拿妹纸cookie
相关厂商:蘑菇街
漏洞作者: hqdvista
提交时间:2013-01-05 15:30
修复时间:2013-02-19 15:31
公开时间:2013-02-19 15:31
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-01-05: 细节已通知厂商并且等待厂商处理中
2013-01-05: 厂商已经确认,细节仅向厂商公开
2013-01-15: 细节向核心白帽子及相关领域专家公开
2013-01-25: 细节向普通白帽子公开
2013-02-04: 细节向实习白帽子公开
2013-02-19: 细节向公众公开
简要描述:
蘑菇街xss两枚,可绕过过滤拿妹纸cookie
详细说明:
先来重点的:首先是一个dom型xss,url参数输出在js里面。原始url在http://www.mogujie.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/addpic?callback=parent;prompt(/test/);//&code=3002
刚开始弹窗很容易,可是剑心告诉我们缺乏可以影响他人帐号或数据的证明案例,于是要进一步利用。
果然弹document.cookie就弹不出来了
原来是被卡擦掉了,更换大小写也不行。包括document.write document.body.append都被卡擦掉了。
但是妹纸还是要跨的,怎么绕?用object.func 等同于object["func"],
于是有document.cookie === document[String.fromCharCode(99,111,111,107,105,101)]
成功pia出。
然后构造payload时用document[String.fromCharCode(119,114,105,116,101)] 代替 document.write。
这个网页木有body,所以调用document.body.append会null object... 还是用document.append。
调用外部js效果如下
——————————————
另外一个就是平常的反射xss了,直接弹cookie,木有过滤
http://www.mogujie.com/magic/brand/1qi?keyword=1%3C%2ftitle%3E%3Cscript%3Eprompt%28document.cookie%29%3C/script%3E
漏洞证明:
修复方案:
输出的时候encode一下?
版权声明:转载请注明来源 hqdvista@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2013-01-05 15:35
厂商回复:
谢谢 朋友, 我们尽快修复!
最新状态:
暂无
漏洞评价:
评论
-
@px1624 继续努力撒!蘑菇街礼物很给力的,关键还有一封CTO写的感谢信!
( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)