当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032638

漏洞标题:土豆网新消息提醒的绑定邮箱CSRF漏洞+email验证链接逻辑漏洞

相关厂商:土豆网

漏洞作者: 学习乌云

提交时间:2013-07-29 17:00

修复时间:2013-09-12 17:01

公开时间:2013-09-12 17:01

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-29: 细节已通知厂商并且等待厂商处理中
2013-07-30: 厂商已经确认,细节仅向厂商公开
2013-08-09: 细节向核心白帽子及相关领域专家公开
2013-08-19: 细节向普通白帽子公开
2013-08-29: 细节向实习白帽子公开
2013-09-12: 细节向公众公开

简要描述:

由这个http://www.wooyun.org/bugs/wooyun-2010-028893 想到去看看有没有其他问题,发现新消息提醒的绑定邮箱那边CSRF没有过滤,或者过滤不严。另外email验证链接那边,可能有逻辑问题。结合这两点,可导致用户的私信、新评论、系统消息提醒等发送至攻击者邮箱。

详细说明:

页面http://www.tudou.com/my/setting/notifyMe.action里的一个【以上消息可用下面方法提醒我】form
正常状态下很多消息提醒都被选中:(用户可以选择发送频率、需要提醒的邮箱)

formView.png


正常状态这个form请求的一个sample如下:

GET http://message.tudou.com/updateEmailSetting.html?callback=jQuery16405471757907992225_1375018012075&isSend=1&frequency=14&email=XXX%40email.com&_=1375018012464 HTTP/1.1
Accept: */*
Referer: http://www.tudou.com/my/setting/notifyMe.action
Accept-Language: zh-cn
User-Agent: 。。。
Accept-Encoding: gzip, deflate
Host: message.tudou.com
Connection: Keep-Alive
Cookie: 。。。


isSend,frequency,email分别对应截图的几个input。
根据这个请求,可能的CSRF防御点在refer字段,或者jQuery参数部分(这个可能吗?菜鸟表示没研究)。
1。针对可能的refer防御
找个可以放<form>的博客系统,wordpress or blogbus? 或者GAE, SAE
如果这些第三方hosting网站不行的话,可以用黑客自己的blog website。
我测试了下面两个refer:
http://richardwiseman.wordpress.com/2013/07/22/answer-to-the-friday-puzzle-215/
http://www.squarefree.com/2012/04/16/car-free-apps/
都可以攻击成功
2.针对可能的jQuery随机参数
我试了几条正常情况下产生的mapping:
callback=jQuery16405471757907992225_1375018012073
&_=1375018012154
callback=jQuery16405471757907992225_1375018012075
&_=1375018012464
callback=jQuery16408171587823084333_1375017781479
&_=1375017829130
于是,尝试随机构造如下的作为攻击向量:
callback=jQuery16408171587823084512_1375017782512
&_=1375017849124

漏洞证明:

结合上述第2点和表单input,制造attack.html(email参数里写黑客控制的参数),放到wordpress上,或者黑客自己的网站(类似squarefree.com)
然后将这样的地址放到微博上传播,一旦土豆用户点击打开attack.html(登录状态下),就会有如下邮件发到黑客邮箱。

email.png


然后,黑客在不登录土豆的状态下点击这个email,也会提醒你绑定邮箱成功(所以更严重的漏洞可能是这边),虽然会再跳到登录页面(http://login.tudou.com/login.do?noreg=ok&service=http://www.tudou.com/my/tui/got/)。
3秒跳转,来不及截图。。
但是这时候,用户土豆账户的提醒邮箱,已经跟黑客的提醒邮箱绑定了。

修复方案:

1. CSRF防御那边你们更清楚(比如限制refer只能是http://www.tudou.com/my/setting/notifyMe.action)。。。具体哪个没做好,请告诉我一声。
2. 提醒邮箱绑定认证那边,需要在用户登录情况下才生效
http://message.tudou.com/checkEmail.html?uid=XXX&token=XXXX
这样的提醒绑定仅仅当用户登录才生效。。

版权声明:转载请注明来源 学习乌云@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-07-30 13:14

厂商回复:

确认漏洞,感谢学习乌云同学的详细解释。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-07-29 17:12 | 学习乌云 ( 实习白帽子 | Rank:95 漏洞数:14 | 学习ing...)

    逻辑验证那边,比CSRF问题更严重,更有学习价值。必须要在用户登录情况下才绑定成功啊!

  2. 2013-07-30 16:49 | 学习乌云 ( 实习白帽子 | Rank:95 漏洞数:14 | 学习ing...)

    @土豆网 能不能发个礼物来鼓励下啊~~~