当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017380

漏洞标题:京东IM web客户端 的文件上传导致任意JS执行漏洞

相关厂商:京东商城

漏洞作者: Mr.L

提交时间:2013-01-16 15:46

修复时间:2013-03-02 15:47

公开时间:2013-03-02 15:47

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-01-16: 细节已通知厂商并且等待厂商处理中
2013-01-16: 厂商已经确认,细节仅向厂商公开
2013-01-26: 细节向核心白帽子及相关领域专家公开
2013-02-05: 细节向普通白帽子公开
2013-02-15: 细节向实习白帽子公开
2013-03-02: 细节向公众公开

简要描述:

在京东在线客服系统中,客服端页面可以执行客户编写的任意JS代码。

详细说明:

流程:
1.客服接入。
2.上传一个图片。
3.由于京东的编辑器是一个contenteditable=true的div,所以我们能对其内容进行编辑。
4.在图片上添加事件

DO@W9%BNYXY%%PHD}6C5_ED.jpg


这里添加一个onload,内容是跳转到天猫。
5.点击发送
6.在network中我们检查请求内容,会看到一个message

V]$~W%UK1CE~J20{O%MQ327.jpg


将其转码后我们得到

`AZCE7Z`WGPJ@H@JB(G)7ZO.jpg


在这里,我们看到图片上的onload事件并没有被过滤掉,在客服端会直接执行。

漏洞证明:

客服端的工作人员证实了代码执行。

[0XDEA99)S{P$TTHFOZX88P.jpg


再次发现问题,聊天记录竟然是存库的!
在我的京东》消息精灵里,代码输出也没过滤

7LW~D@6@W1SDV2WRG$S4TEV.jpg

修复方案:

对于用户提交的内容进行更加严格的过滤,去除在一些媒体元素上的onload onerror等事件。

版权声明:转载请注明来源 Mr.L@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-01-16 18:32

厂商回复:

非常感谢您对京东的关注,我们已开始修复!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-01-16 16:12 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    忽略之....

  2. 2013-01-16 18:41 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @疯子 失策吧

  3. 2013-02-05 23:54 | noah ( 普通白帽子 | Rank:384 漏洞数:40 )

    吓到妹子了