当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-058007

漏洞标题:图虫网存储型XSS可蠕虫(测试成功)

相关厂商:图虫网

漏洞作者: 0x_Jin

提交时间:2014-04-22 12:19

修复时间:2014-06-06 12:20

公开时间:2014-06-06 12:20

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-22: 细节已通知厂商并且等待厂商处理中
2014-04-22: 厂商已经确认,细节仅向厂商公开
2014-05-02: 细节向核心白帽子及相关领域专家公开
2014-05-12: 细节向普通白帽子公开
2014-05-22: 细节向实习白帽子公开
2014-06-06: 细节向公众公开

简要描述:

去年的一个存储型XSS,在去年12月份到今年的这段时间挖到了图虫网不少存储型,有几个存储型XSS的位置都忘记了。。。。脑袋简直不够用。。。

详细说明:

存储型XSS存在于 创建个人主页-创建相册 - 相册名
在相册名处未做任何过滤 便直接存入数据库 导致出现XSS。
由于这样的XSS太木有技术含量 然后便再测试下 csrf women。
于是便抓了个发表图博的post包 发现处于同一域下 并且还不需要token便可直接发表!
上图:

QQ20140422-1.jpg


然后便在加载的js中写上了这样一段代码:

QQ20140422-2.jpg


用的某人的xss平台 这里就不说名字了,本身平台本身是自带csrf功能的 可是我每次使用都出错。
后来发现是post过去的内容没有做url解码 所以导致&参数分隔符被编码 导致缺少参数 post内容不成功!所以这里我就将平台里的code copy出来 然后将post的内容用decodeURIComponent函数包起来 让它解码一次再post。然后就成功了!
每次一访问我的相册就会自动的发表一篇图博,如果我抓个创建相册的包的话 就可以一直蠕下去了!

漏洞证明:

上证明图:

QQ20140422-3.jpg


访问相册 加载hook js
然后js 异步请求到 图虫网的创建页面 post的内容就是创建一条图博。
点击下相册后 再去看看图博。

QQ20140422-4.jpg


发现多了条刚刚发表的图博。
演示地址:
http://tuchong.com/422183/albums/

修复方案:

在发表内容时加入token
创建相册名时对输入字符进行过滤再存入。
另外password 也放入到了cookie中了 虽然做了httponly 但是一旦出现问题 密码就泄露了 建议不要把密码放入cookie中

版权声明:转载请注明来源 0x_Jin@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-04-22 16:17

厂商回复:

这个bug仅存在于老版的图虫中,在新版的图虫中已经修复。
感谢反馈,目前老版的图虫也已经修正这个bug,并且我们会尽快将老版完全下线。

最新状态:

暂无


漏洞评价:

评论