当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021856

漏洞标题:phpcms问答某模块存储型xss,可定向获取用户cookie

相关厂商:phpcms

漏洞作者: 梧桐雨

提交时间:2013-04-15 11:20

修复时间:2013-05-30 11:21

公开时间:2013-05-30 11:21

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-04-15: 细节已通知厂商并且等待厂商处理中
2013-04-15: 厂商已经确认,细节仅向厂商公开
2013-04-25: 细节向核心白帽子及相关领域专家公开
2013-05-05: 细节向普通白帽子公开
2013-05-15: 细节向实习白帽子公开
2013-05-30: 细节向公众公开

简要描述:

黑名单惹的祸啊

详细说明:

在回帖处,有个编辑器功能。
编辑器存在一个可以编辑源码,当时第一反映就是。这里肯定存在xss。
果不其然,但是,在开始的时候测试

<script>alert(1)</script>


以及

<img src=1 onerror=alert(1) />


的时候,发现都无法执行js代码。
于是乎,便上http://html5sec.org/找些偏门的代码测试。
当测试:<form id="test"></form><button form="test" formaction="javascript:alert(1)">X</button>
的时候,我惊讶的发现居然没过滤。如图,点击之后触发

2.jpg


1.jpg


当然,这个还需要点击。毕竟回帖的人不是每个人都会点击。那怎么样才能把xss的成功率扩大呢?
别着急。
在http://html5sec.org/里,还是有不少可以使用的代码。譬如:
<input onfocus=alert(1) autofocus> 打开页面时候触发(ie10,谷歌,火狐4.5有效)
除了上面这个,还有很多都是通杀浏览器,不一一测试,仅仅拿这个证明危害。

4.jpg


这样我们就可以广撒网捞鱼了。

漏洞证明:

值得一提的是。<input onfocus=alert(1) autofocus> 虽然是以onfocus来执行js。但是别忘了我们还有eval。可以构造<input onfocus=eval("这里是我们想执行的代码") autofocus>
来完成攻击。构造好的js如下:

6.jpg


当用户访问这篇帖子,就是受害者了。

7.jpg


8.jpg


不再一一去尝试了。希望phpcms团队也能重视该问题。

修复方案:

该编辑器是基于黑名单过滤的。如果实在要开启编辑源码功能,建议采用白名单过滤。不然最好还是关闭开放编辑源码功能的权限,因为你们根本不知道跨站师会用哪些你们根本不知道的代码。
这里还有一枚反射型的xss,顺便提一下吧:
http://118.244.225.145/index.php?m=ask&c=team&a=team_list&order=team_point&catid=&belong=team&name="><script>alert%281%29<%2Fscript>

版权声明:转载请注明来源 梧桐雨@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-04-15 11:44

厂商回复:

感谢提交!!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-05-07 00:08 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    来,把EXP发到评论这!