当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017484

漏洞标题:xss.tw 存储型xss一枚,偷cookie

相关厂商:xss.tw

漏洞作者: 小囧

提交时间:2013-01-18 12:43

修复时间:2013-01-18 12:43

公开时间:2013-01-18 12:43

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:1

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-01-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

xss.tw 存储型xss一枚,偷cookie,
安全做得不错呀,
本想偷别人的劳动成果的 结果失败了。

详细说明:

cookie偷到了
登录的时候有验证用户环境,应该user-agent 和ip 一起验证的。还没伪造php试。
只能算个 存储跨站攻击脚本了。
用户可以在xss代码后附加代码,由于页面Content-Type:text/html 所以任意代码都行,

1.png


2.png


然后想个办法让这些用户来访问这个页面,
于是乎,分析xss代码可知 http://xss.tw/76/?keepsession=&location= 来接收参数的。
那么我就伪造点数据进去
写了个脚本 1-169所有的用户都发送一条记录

4.png


很多人看了自己突然冒出了这么条信息, 应该都会打开 那个http://t.cn/zjDyshd 我想要的就是这个效果。
只要一打开就被xss了,
截获的cookie信息

6.png


然后尝试登录 改了user-agent 和 seesionid

9.png


又经过测试 发现若同1ip下就不会出现该问题,应该是user-agent 和ip一起来判断用户环境的。

漏洞证明:

蛮多人的..

7.png


修复方案:

像这种特殊文件,你想让它作为js去执行 输出个头吧
Content-Type:application/x-javascript
这样就不会有这样的问题了。。

版权声明:转载请注明来源 小囧@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-01-18 13:14 | txcbg ( 普通白帽子 | Rank:391 漏洞数:53 | 说点什么呢?)

    围观

  2. 2013-01-18 13:17 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    碉堡的厂商

  3. 2013-01-18 13:46 | ‫‌ ( 实习白帽子 | Rank:76 漏洞数:14 )

    @小囧 直接取页源码,偷他内容 哈哈.~

  4. 2013-01-18 14:00 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    这算不算是X别人反被X

  5. 2013-01-18 14:02 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    @Wdot

  6. 2013-01-18 14:09 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    @小威 威哥所言极是!

  7. 2013-01-18 16:04 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    @Passer_by 很多人提醒他,可惜还是修补得不全。

  8. 2013-01-18 16:24 | 冰封 ( 路人 | Rank:11 漏洞数:1 | 认真做事,低调求发展! Mr.Fz's)

    情何以看啊! 被反X了

  9. 2013-01-18 16:27 | 小囧 ( 普通白帽子 | Rank:396 漏洞数:62 | 在通往牛B的路上一路狂奔)

    不算反x哈~ 玩玩而已

  10. 2013-01-18 16:42 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    @小囧 月初的时候xss.me的ref没有过滤然后就XXOO。

  11. 2013-01-18 16:44 | 小囧 ( 普通白帽子 | Rank:396 漏洞数:62 | 在通往牛B的路上一路狂奔)

    @园长 呢,这个参数都过滤了的 已经尝试了哈。。 它做了用户环境认证的, user-agent 和 ip一起来判断的。 所以不好搞 拿到cookie无用

  12. 2013-01-18 17:27 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    @小囧 没懂我意思,不解释。哈哈

  13. 2013-01-18 18:49 | ‫‌ ( 实习白帽子 | Rank:76 漏洞数:14 )

    @小囧 不管判断不判断。可以试试直接取源码啊 这个页面是在内容显示页啊 搭配xss.js什么都能干

  14. 2013-01-19 16:36 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    哈哈,原来是你,昨天我也发现了。

  15. 2013-01-19 16:37 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    @小囧 下次试试这个头 Content-Type:application/x-javascript

  16. 2013-01-19 16:38 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    @Wdot 那个HELLO就是我发的撒~~

  17. 2013-01-19 16:48 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    @小囧 那个HELLO就是我发的撒~~用户登陆验证过程的实现 : http://wdot.cc/Defense/92.html

  18. 2013-01-19 16:49 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    @冷静 这个厂商竟然不是我。。。

  19. 2013-01-19 16:51 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    @园长 每接到一个反馈,我基本上都是立即修复的。。

  20. 2013-01-19 19:30 | 小囧 ( 普通白帽子 | Rank:396 漏洞数:62 | 在通往牛B的路上一路狂奔)

    @Wdot 我也郁闷 再怎么也要给我1rank撒

  21. 2013-01-19 19:31 | 小囧 ( 普通白帽子 | Rank:396 漏洞数:62 | 在通往牛B的路上一路狂奔)

    @Wdot 做得蛮细致的哈,顶一个

  22. 2013-01-19 22:22 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    @小囧 我再次声明这个厂商不是我。。。。

  23. 2013-01-20 12:08 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    跟 @xsser 反馈下。。

  24. 2013-01-21 12:59 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    @Wdot 那次批量alert...本来是测试下偷URL的。邪恶下。

  25. 2013-01-21 13:50 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    @园长 都是喜欢玩的,发现缺陷都先玩玩,之后再反馈。。。

  26. 2013-01-21 15:53 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    @Wdot 慢慢来吧,人少了也测不出来这些问题。有问题表明有人在用,说明有存在的价值。

  27. 2013-03-22 16:21 | 小囧 ( 普通白帽子 | Rank:396 漏洞数:62 | 在通往牛B的路上一路狂奔)

    @Wdot 师兄,能给个账号不,测试个东西。