当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025051

漏洞标题:移动139邮箱,某常用处没过滤任何字符,持久型XSS

相关厂商:139移动互联

漏洞作者: 叶问

提交时间:2013-06-03 16:37

修复时间:2013-06-08 16:38

公开时间:2013-06-08 16:38

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-03: 细节已通知厂商并且等待厂商处理中
2013-06-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

移动的139邮箱,由于过滤不严(可以说没过滤任何字符),导致存储型XSS(发送给不同用户均测试成功,实验证明,多种邮箱QQ或网易等,发给139邮箱的邮件,都可以形成本文讨论的XSS)。Cookie什么的就不说了,还可以插入任意标签,蠕虫什么的大家应该想得到。

详细说明:

一、发一封邮件:
标题为:

"> <img src="#" onerror="alert(document.cookie)" > 用分号截断a标签的onclick属性;用大于号来闭合a标签~;而后可以随意发挥XSS,各种构造与传播



1.png


二、发送完成后,不管收件人点与不点,目标收件箱处于打开状态的话,都会很友好地弹出一个新邮件提示框。然而,正是这个框,立马触发了XSS的执行,请看cookie。

2.png


  从下面的源码可看出,提示框中输出时并未过滤 >、<、”、’ 等几个字符(实验证明,它没过滤任意字符,可以插入<img> 、<script>、<iframe>……等任意标签),很容易就截断原来的<a>标签而造成任意XSS跨站。

3.png


三、梅开二度
  在邮件的预览界面里,同样可以触发XSS。

4.png



熟悉的cookie:

5.png



四、连中三元?
  幸运的是邮件内容中过滤了非法字符,标题和内容都不会导致XSS,而且标题也有大小限制,反正我最长的标题输入只能是这个(但已经不少了,加上调用外部js的话 - - ):
"> <img src="c.jjpg" onerror="alert(0sdfsfsd6f5s4df564555555555555555555555555555555555555555555555555555555555555ssssssdddddddddddsssssssssssssssssssssssssssssssss)" > 用分号截断a标签的onclick属性;用大于号来闭合a标签~:
但是,由于没过滤任意字符可以插入<-- ….. --> ,不知可否入手。
五、总结一下:
  1.只要受害者开着收件箱、或打开收件箱,每封新邮件都会弹提示对话框,所谓躺着也中枪。
  2.用户预览邮件的时候,立马膝盖中箭。
  3.蠕虫什么的就不写了,白费精力,相信移动过两天就修复了。
  4.修复什么的,我说都是浮云,10086更懂。

6.png

漏洞证明:

证明都在详细说明里了。

7.png

修复方案:

10086更懂

版权声明:转载请注明来源 叶问@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-06-08 16:38

厂商回复:

最新状态:

暂无


漏洞评价:

评论