漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-058007
漏洞标题:图虫网存储型XSS可蠕虫(测试成功)
相关厂商:图虫网
漏洞作者: 0x_Jin
提交时间:2014-04-22 12:19
修复时间:2014-06-06 12:20
公开时间:2014-06-06 12:20
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-22: 细节已通知厂商并且等待厂商处理中
2014-04-22: 厂商已经确认,细节仅向厂商公开
2014-05-02: 细节向核心白帽子及相关领域专家公开
2014-05-12: 细节向普通白帽子公开
2014-05-22: 细节向实习白帽子公开
2014-06-06: 细节向公众公开
简要描述:
去年的一个存储型XSS,在去年12月份到今年的这段时间挖到了图虫网不少存储型,有几个存储型XSS的位置都忘记了。。。。脑袋简直不够用。。。
详细说明:
存储型XSS存在于 创建个人主页-创建相册 - 相册名
在相册名处未做任何过滤 便直接存入数据库 导致出现XSS。
由于这样的XSS太木有技术含量 然后便再测试下 csrf women。
于是便抓了个发表图博的post包 发现处于同一域下 并且还不需要token便可直接发表!
上图:
然后便在加载的js中写上了这样一段代码:
用的某人的xss平台 这里就不说名字了,本身平台本身是自带csrf功能的 可是我每次使用都出错。
后来发现是post过去的内容没有做url解码 所以导致&参数分隔符被编码 导致缺少参数 post内容不成功!所以这里我就将平台里的code copy出来 然后将post的内容用decodeURIComponent函数包起来 让它解码一次再post。然后就成功了!
每次一访问我的相册就会自动的发表一篇图博,如果我抓个创建相册的包的话 就可以一直蠕下去了!
漏洞证明:
上证明图:
访问相册 加载hook js
然后js 异步请求到 图虫网的创建页面 post的内容就是创建一条图博。
点击下相册后 再去看看图博。
发现多了条刚刚发表的图博。
演示地址:
http://tuchong.com/422183/albums/
修复方案:
在发表内容时加入token
创建相册名时对输入字符进行过滤再存入。
另外password 也放入到了cookie中了 虽然做了httponly 但是一旦出现问题 密码就泄露了 建议不要把密码放入cookie中
版权声明:转载请注明来源 0x_Jin@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-04-22 16:17
厂商回复:
这个bug仅存在于老版的图虫中,在新版的图虫中已经修复。
感谢反馈,目前老版的图虫也已经修正这个bug,并且我们会尽快将老版完全下线。
最新状态:
暂无