漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-020303
漏洞标题:QQ空间某功能缺陷导致日志存储型XSS - 5
相关厂商:腾讯
漏洞作者: gainover
提交时间:2013-03-19 14:46
修复时间:2013-05-03 14:46
公开时间:2013-05-03 14:46
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:12
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-03-19: 细节已通知厂商并且等待厂商处理中
2013-03-19: 厂商已经确认,细节仅向厂商公开
2013-03-29: 细节向核心白帽子及相关领域专家公开
2013-04-08: 细节向普通白帽子公开
2013-04-18: 细节向实习白帽子公开
2013-05-03: 细节向公众公开
简要描述:
日志的功能都快被测光了。。。只好把目光放在了一个不是很可能出XSS的地方,还是有,有木有!
详细说明:
1. 发布一个日志,插入一张图片,保存日志。当鼠标移动到图片上时,可以看到下面的东东。
2. 查看对应部分的源码,可以看到 转发部分的代码里,有这个图片的URL。
3. 这里可以猜测到,这部分代码的实现,大概是将图片的src取出来,然后通过字符串连接到代码里。
如果图片的地址里带有 " ,并且没有被过滤的话,是不是就可以导致XSS了呢?
4. 我们来试试。
日志,HTML模式,写入以下代码。
<div style="text-align:center"><img src="http://xsst.sinaapp.com/img.jpg#"><img style=display:none src=1 onerror="alert(1)//" alt="图片" style="width:466px;height:700px"></div>
5. 没弹出,查看DOM代码,可以看到,腾讯对外部图片做了一定的措施。
6. 要绕过这个限制,我们到相册里自己上传以下,得到一个腾讯站内地址试试。
<div style="text-align:center"><img src="http://b254.photo.store.qq.com/psb?/01d1295e-6c2f-4efd-825e-e15c2a77c787/mPEZeaUmy4PfIqxb9UclFShCdxmBJup1fOa6uKTgL80!/b/dJyTa5cOCQAA&bo=0gG8AgAAAAABAEo!#"><img style=display:none src=1 onerror="alert(1)//" alt="图片" style="width:466px;height:700px"></div>
7. 再次查看日志,当鼠标移动到【日志内的美女图片上时】,可以看到,弹出了1。
8. 通过DOM代码附近的 InfoManager.twitterImage ,我们可以定位到 http://ctc.qzs.qq.com/qzone/app/blog/v6/script/blog_content.js
进一步可以看出,图片的src取出后,经过formatMsg函数,进入tip_str最终进入oTip.innerHTML
9. 最后补充下一个小细节,在本地XSS中,图片地址后面,我们用#,而没有用 ?,这是为什么呢?
因为在chrome下,xxx.src取出图片地址时,会对地址进行编码,
如果用 xxx.jpg?"><img 就会变成 xxx.jpg?%22%3E%3cimg,如下图。
而用#号则不会被编码。 这也是决定是否可以利用成功的一个小技巧,故在此说明一下。
漏洞证明:
1. IE和chrome下均可,
2. 当用户进入日志后,鼠标移动到日志中插入的图片上时,即会触发XSS。
3. 虽然这是一个 onmouseover xss,但是从用户查看日志的习惯上来说,
当图片SIZE非常大,图片内容有吸引力,以及用户一些移动鼠标的误操作, 会使得该XSS的触发成功率会非常高,和自动触发差距不大。
修复方案:
缺陷文件及代码位置已给出,
取出 imgObj.src 进行 encode一次。
版权声明:转载请注明来源 gainover@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2013-03-19 15:13
厂商回复:
非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。
最新状态:
暂无