漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-016989
漏洞标题:搜房网空间多处严重存储型xss&&绝对路径泄露
相关厂商:搜房网
漏洞作者: xfkxfk
提交时间:2014-05-16 12:22
修复时间:2014-05-16 15:11
公开时间:2014-05-16 15:11
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-16: 细节已通知厂商并且等待厂商处理中
2014-05-16: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
搜房网空间,http://www.soufun.com/space/Index.aspx 存在严重存储型XSS, 可在用户空间首页触发XSS代码。轻则可导致对用户COOKIE劫持或者挂马,重则可以编写XSS蠕虫传播。
详细说明:
1、在搜房网空间,创建自己得家庭,在家庭名称出未作过滤。
http://www.soufun.com/space/Group/MyGroupList.aspx
2、在家庭空间里,家庭相册功能处对相册名称未作过滤。
http://www.soufun.com/space/Group/Album.aspx?groupid=24936
3、在家庭空间里,家庭大事记功能出,添加大事记是事记名称和地点未过滤。
http://www.soufun.com/space/group/Events.aspx?groupid=24936
4、在家庭空间中,家族树功能出现问题,爆绝对路径。
http://www.soufun.com/space/group/CreateTree.aspx?groupid=24936
5、在家庭空间中,家庭通讯录功能里的添加家人选项存在问题,爆绝对路径。
http://www.soufun.com/space/group/Contact.aspx?groupid=24936
危害:
1、当创建了自己得家庭后,在空间首页就能触发,而所有搜房网的用户在自己的空间内都能看到所有其他用户已创建的家庭及其用户空间,这样就造成了更大的危害。
2、在xss code里面放入cookie劫持和钓鱼连接,就坐等各种cookie和用户名密码吧!3
3、其实这里也可以进行蠕虫,和前段时间的人人日志蠕虫相比,这里的更简单,不需要token,只要渠道rul里的groupid就能进行。
漏洞证明:
1、搜房网家庭名称xss
2、搜房网家庭相册xss
3、搜房网家庭大事记xss
4、搜房网家庭家族树爆路径
xss.me上的劫持到的cookie和钓鱼钓到的用户名密码就往这贴了。
修复方案:
赶紧修吧!
版权声明:转载请注明来源 xfkxfk@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-05-16 15:11
厂商回复:
这是2013年的老贴了。这些链接早就失效了。是不是审核系统出错了?
最新状态:
暂无
漏洞评价:
评论
-
@搜房网 同感
( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)