当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024153

漏洞标题:淘宝网 -- 商品页面强制弹出任意网页漏洞,又是前端“黑客”?

相关厂商:淘宝网

漏洞作者: 路人甲

提交时间:2013-05-20 16:50

修复时间:2013-07-04 16:51

公开时间:2013-07-04 16:51

漏洞类型:恶意信息传播

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-20: 细节已通知厂商并且等待厂商处理中
2013-05-20: 厂商已经确认,细节仅向厂商公开
2013-05-30: 细节向核心白帽子及相关领域专家公开
2013-06-09: 细节向普通白帽子公开
2013-06-19: 细节向实习白帽子公开
2013-07-04: 细节向公众公开

简要描述:

看到乌云今天报告的这个“点击劫持”漏洞,想起我也遇到过强行被店铺弹窗的经历!

详细说明:

店铺地址是这个,重现可以来这里看。

http://item.taobao.com/item.htm?spm=a230r.1.14.69.zk34BW&id=25101676408&_u=k3jfumt58e4


访问被强行调到天猫,带有淘宝客ID

http://www.tmall.com/?ali_trackid=2:mm_34019173_0_0:1369039267_3k9_1575965793


分析了一下,应该是店铺所有者在CSS样式中插入了一个“恶意”flash文件,达到任意跳转店铺访问的目的。
图1:源码中店铺调用该样式等信息的地方

1.png


图2:“恶意”swf文件地址,http://yun.taosoft.com.cn/taoflash/swf/1666424963/1367227913539.swf?cid=tb1666424963&pid=c3dmLzE2NjY0MjQ5NjMvMTM2NzIyNzkxMzUzOS5zd2Y=

2.png


图3:“恶意”swf文件,强制弹出连接 http://www.locailed.com/cc/cc1.html

3.png


直接curl也可看到最终跳转的页面地址

curl "http://yun.taosoft.com.cn/taoflash/swf/1666424963/1367227913539.swf?cid=tb1666424963&pid=c3dmLzE2NjY0MjQ5NjMvMTM2NzIyNzkxMzUzOS5zd2Y="
FWQ8
    DC???/?+http://www.locailed.com/cc/cc1.html_blank@


可能是通过cid或pid来调换跳转地址吧,这个swf是通用的抢弹程序(此处猜测)~

漏洞证明:

最终cc1.html文件源码

<html>
<head>
<meta http-equiv="Content-Language" content="zh-CN">
<meta HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
<meta http-equiv="refresh" content="0.1;url=http://light.lz.taobao.com/index.php?fid=77&flag=1&r=http://%73%2E%63%6C%69%63%6B%2E%74%61%6F%62%61%6F%2E%63%6F%6D%2F%74%3F%65%3D%7A%47%55%33%34%43%41%37%4B%25%32%42%50%6B%71%42%30%35%25%32%42%6D%37%72%66%47%47%6A%6C%59%36%30%6F%48%63%63%37%62%6B%4B%4F%51%69%51%7A%69%67%34%6E%7A%6F%67%4D%42%58%50%72%62%50%32%70%52%50%42%53%4F%6B%42%53%35%44%68%48%35%48%46%35%76%51%49%68%69%34%66%4A%37%37%55%33%61%4B%64%4B%47%75%75%36%5A%76%37%70%39%46%50%38%69%33%74%70%65%77%48%64%49%68%48%36%75%44%4D%65%41%25%33%44%25%33%44">
<title></title>
</head>
<body>
</body>
</html>


经过meta这个跳转的几跳后,到了最终的天猫+淘宝客ID连接上,看图吧

5.png

修复方案:

新人,求带!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2013-05-20 18:41

厂商回复:

非常感谢您对我们的支持与关注,该问题我们正在修复~~

最新状态:

暂无

漏洞评价:

评论

  1. 2013-05-20 16:53 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    连载是怎么着?

  2. 2013-05-20 17:00 | 大肠精 ( 路人 | Rank:0 漏洞数:2 | 业余兴趣而已)

    我去,那不是任意劫持购买么

  3. 2013-05-20 17:11 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @大肠精 不知情的用户会在新填出的连接内购买么?是这个逻辑不。

  4. 2013-05-20 17:12 | 蓝小灰 ( 路人 | Rank:15 漏洞数:5 | 找工作!PHP开发方向)

    要是弹mm_id那可牛逼大了

  5. 2013-05-20 17:13 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @蓝小灰 又是啥,你们说的我都不懂,能讲解下么

  6. 2013-05-20 21:33 | 大肠精 ( 路人 | Rank:0 漏洞数:2 | 业余兴趣而已)

    @疯狗 XSS或者CSRF呀...成功利用的话可以做很多事情啊,什么退货,删除物品,修改收货信息什么的

  7. 2013-05-20 22:40 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @大肠精 啊,我是说mm_id

  8. 2013-05-21 09:50 | 大肠精 ( 路人 | Rank:0 漏洞数:2 | 业余兴趣而已)

    @疯狗 大概是淘宝的某些认证ID吧,好比QQ的appkey,这个得专门研究淘宝的才知道哦

  9. 2013-06-13 09:45 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    rank4?感觉还是不厚道

  10. 2013-07-04 16:56 | f19ht ( 实习白帽子 | Rank:81 漏洞数:15 | 依依不舍的还是你的菊花。)

    好好的一条赚钱的路子,.就被你这么毁了 赔我毛爷爷.....你赔我