当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022491

漏洞标题:新浪某分站持久xss,配合csrf危害更大(四)

相关厂商:新浪

漏洞作者: px1624

提交时间:2013-04-25 15:03

修复时间:2013-06-09 15:03

公开时间:2013-06-09 15:03

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-04-25: 细节已通知厂商并且等待厂商处理中
2013-04-25: 厂商已经确认,细节仅向厂商公开
2013-05-05: 细节向核心白帽子及相关领域专家公开
2013-05-15: 细节向普通白帽子公开
2013-05-25: 细节向实习白帽子公开
2013-06-09: 细节向公众公开

简要描述:

位置是在个人资料的位置,别人也可以通过uid的链接访问。也可以将xss链接发到博客社区等位置利用get此链接的csrf进行xss的攻击。
影响整个sina.com.cn域名下的所有产品。噢,还可以蠕虫额、、、到最后,发现了一个更坑的事情。。。

详细说明:

1 xss位置,新浪 李宁个人空间签名位置。
2 测试地址:

http://lining.sina.com.cn/irun/uc/space.php?uid=1870758683


3 前端限制了长度,服务器端啥都没限制。直接charles发包就可以了。
图1

1.png


4 别人访问主页的效果,也会中招,可以通过url直接访问,也可以通过其他超链接。
图2

2.png


5 配合csrf利用。
6 在博客发一个图,把<img>的src设置为指定的xss链接地址。看到博客,就会中csrf,从而中xss。
图3

3.png


7 证明。刷新博客页面,可以看到有get那个xss页面,并且refer是博客的那个地址。
图4

4.png


8 小号的cookie证明。cookie只是为了证明自己插入的调用js文件的代码被成功执行了。
图5

5.png


9 这里也顺便说一下另一个csrf吧,你们工作人员说内部已经提前发现了,我这里就提提吧。
在6的那个图中还有一个csrf
csrf地址

http://lining.sina.com.cn/irun/uc/attent_opt.php?uid=1870758683&do=add

(uid这里是我自己的)
效果可以对 新浪李宁 指定用户加关注。原因是因为程序员偷懒了,本来是一个post请求,结果把post请求改成get,也可以成功执行。
图6

6.png


10 蠕虫证明。修改签名的post数据中,啥验证都么有。这里直接把xss的请求写到自己服务器的js中就可以了。这里就不多做演示了、、、
图7

7.png


11 到这里,我觉得已经危害比较大了,但是随手试了试,又发现了一个更坑爹的事情。。。导致危害进一步升级。
把10中的post数据改成get请求,擦!成功了。。。
图8

8.png


9

9.png


这明显也是一个csrf了,利用方法同上,直接csrf+xss了。。。随便去社区之类的地方<img>插src吧、、、
12 看上面的图,感觉貌似这里还存在反射型xss,试了试,直接get的话。诶,还是有做过滤的额。。。
图10

10.png


如上图,没过滤"><等字符,过滤了 sript onerror= 之类的代码

漏洞证明:

如上描述证明,很详细了。这个站,问题蛮多的额。。。我很可耻的在这里刷了好几个漏洞了。。。。你们要么自己彻底的自查下?

修复方案:

csrf的问题,严格的判断post refer等,加token。。
xss的过滤下特殊字符。
最后,该post的时候,还是要post啊,偷懒的话,很容易悲催诶。。。

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-04-25 15:22

厂商回复:

感谢提供,已安排人员进行修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-04-25 15:25 | Defa ( 普通白帽子 | Rank:113 漏洞数:13 | <img src=1 onerror=alert(1)>)

    一切皆有可能

  2. 2013-04-25 15:41 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Defa ...