漏洞概要
关注数(24)
关注此漏洞
漏洞标题:一个flash的0day导致的淘宝网存储xss(可形成永久后门)
提交时间:2013-10-12 13:00
修复时间:2013-11-26 13:01
公开时间:2013-11-26 13:01
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-10-12: 细节已通知厂商并且等待厂商处理中
2013-10-12: 厂商已经确认,细节仅向厂商公开
2013-10-22: 细节向核心白帽子及相关领域专家公开
2013-11-01: 细节向普通白帽子公开
2013-11-11: 细节向实习白帽子公开
2013-11-26: 细节向公众公开
简要描述:
淘宝的存储XSS,其实是利用了flash的0day,但预计很多网站都受影响...
详细说明:
关于flash的XSS,除了常见的一些技巧外,目前已知的比较偏门的两类是:
1.ExternalInterface.call的第二个参数,主要利用\",catch(e){}//,wooyun上有很多例子
2.在IE下,当flash调用ExternalInterface.addCallback时,如果object的id可控.
但需要注意的是:当js调用flash暴露出来的callback时,返回值也是一个敏感点!这个在wooyun上并没有看到有人提及,也许被很多人忽视了.
首先来看看js是如何处理flash的callback的:
1.在ie下,其实是
2.在FF与Chrome等其他浏览器下,其实是
注意到这里都调用了eval,再结合ExternalInterface.call的那个0 day, 利用方式也就呼之欲出了.
所以只要js中调用了callback函数,而返回值又可被攻击者控制的话,就可以造成xss. IE, Chrome, FF等浏览器均受影响.
一般的,如果你利用js来读取flash的LSO的话,那么就很有可能中招. 注意不管你是否在js里是否对过滤读取出的数据,也不管你读取出数据后是否用于DOM操作,仅仅读取这个动作就会触发XSS.
实例:
https://login.taobao.com
这个页面自动加载一个JSocket.swf,这个flash会添加二个callback函数,分别是getlso与setlso.
如果用户访问某个恶意站点的过程中其LSO被篡改,那么当其以后访问login.taobao.com时就触发xss. 由于LSO是持久的,所以利用这个xss劫持用户也是可能的.
下面是POC(渣代码见谅),访问这个html后再访问login.taobao.com就会触发XSS
漏洞证明:
1. Chrome下
2. IE下,顺便验证一下domain
修复方案:
怎么检查ExternalInterface.call的输入参数,就怎么处理callback的返回值吧
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2013-10-12 16:44
厂商回复:
感谢你对我们的支持与关注,该问题我们正在修复~~
最新状态:
暂无
漏洞评价:
评论
-
2013-10-12 13:05 |
Master ( 路人 | Rank:29 漏洞数:10 )
我去,这才是漏洞。高端大气上档次,低调奢华有内涵。
-
2013-10-12 13:21 |
灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)
-
2013-10-12 13:36 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2013-10-12 13:41 |
xfkxfk ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)
-
2013-10-12 13:45 |
xxw ( 路人 | Rank:29 漏洞数:18 | 中国梦)
-
2013-10-12 13:49 |
Mr.杨总 ( 路人 | Rank:14 漏洞数:4 | 绿色 无毒 你懂得。。。。心要宽 。。。)
-
2013-10-12 13:51 |
Mas ( 实习白帽子 | Rank:42 漏洞数:15 )
-
2013-10-12 14:05 |
暖暖 ( 路人 | Rank:7 漏洞数:2 | 屌丝一个。)
淘宝的存储XSS,其实是利用了flash的0day,但预计很多网站都受影响...厂商忽略。
-
2013-10-12 14:15 |
想要减肥的胖纸 ( 普通白帽子 | Rank:250 漏洞数:42 )
-
2013-10-12 14:15 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2013-10-12 14:18 |
xxw ( 路人 | Rank:29 漏洞数:18 | 中国梦)
-
2013-10-12 14:33 |
onlycjeg ( 实习白帽子 | Rank:38 漏洞数:5 | 我就看看,我不说话.)
-
2013-10-12 14:42 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2013-10-12 15:29 |
围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
-
2013-10-12 15:52 |
txcbg ( 普通白帽子 | Rank:391 漏洞数:53 | 说点什么呢?)
-
2013-10-12 16:19 |
ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)
-
2013-10-12 16:39 |
╰╃清風 ( 实习白帽子 | Rank:89 漏洞数:9 | 这家伙很懒,什么都没有留下)
-
2013-10-13 11:11 |
X防部 ( 普通白帽子 | Rank:487 漏洞数:137 )
-
2013-10-22 19:11 |
p.z ( 普通白帽子 | Rank:411 漏洞数:40 )
我看了 高端大气上档次 建议淘宝送给洞主一只吉娃娃
-
2013-10-24 01:54 |
gainover ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
问题很隐蔽,这个开发人员肯定注意不到了,只要有这么用了的,估计都存在问题。
-
2013-10-24 09:15 |
clzzy ( 普通白帽子 | Rank:176 漏洞数:18 )
-
2013-10-24 12:51 |
X防部 ( 普通白帽子 | Rank:487 漏洞数:137 )
尼玛 花了4个wb提前看 真值!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
-
2013-10-24 13:21 |
NULL0 ( 路人 | Rank:18 漏洞数:3 | ..............)
尼玛 花了4个wb提前看 真值!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
-
2013-11-04 11:43 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
这个给力,感觉8rank少了,不过仅对淘宝来说,差不多~其实是个通用漏洞啊~
-
2014-03-10 10:05 |
her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)
将allowscriptaccess的属性值修改成sameDomain 是不是会防止?
-
2014-05-21 14:16 |
小贱人 ( 路人 | Rank:4 漏洞数:3 | 资深菜鸟,)