漏洞概要
关注数(24)
关注此漏洞
漏洞标题:phpwind9.0最新版 富文本存储型XSS漏洞
提交时间:2014-06-05 08:24
修复时间:2014-09-03 08:26
公开时间:2014-09-03 08:26
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-06-05: 细节已通知厂商并且等待厂商处理中
2014-06-09: 厂商已经确认,细节仅向厂商公开
2014-06-12: 细节向第三方安全合作伙伴开放
2014-08-03: 细节向核心白帽子及相关领域专家公开
2014-08-13: 细节向普通白帽子公开
2014-08-23: 细节向实习白帽子公开
2014-09-03: 细节向公众公开
简要描述:
没有阅读你们的代码,没有华丽的代码分析。只是黑盒测试……
详细说明:
代码编写不当导致phpwind发帖和回复功能均可以由攻击者植入恶意的js代码进而进行跨站脚本攻击。下面附上测试步骤,已便乌云重现和官方修复:
注册账号,在任意板块进行发帖(切换到代码模式方便测试)
测试输入1:
测试输出1:
确定输出点后,尝试在flash的url中加入双引号跳出value=""和data=""。
测试输入2:
测试输出2:
发现URL中出现双引号时UBB CODE不会被转换成HTML CODE.但经过小的fuzzing后,发现当
之前出现UBB代码
时(点上传附件按钮,上传任何一种允许的文件类型。上传成功成功后点击插入即可),情况就会有所转变。在这种情况下我们在[flash][/flash]中插入的双引号可以帮助我们跳出value=""和data=""。当然还有一些其它蛋疼的限制……
测试输入3:
测试输出3:
当恶意脚本包含"()"时UBBCODE又一次没有被转换成HTML代码。蛋蛋的忧伤……
经过一系列fuzz之后,发现:
这样一来开新标签是不可能了,使用编码也是不可能了,所以机智的我……还是搞定了。
最终测试输入:
[attachment=999][flash=1920,1080,0]http://businessinfo.co.uk/labs/xss/xss.swf" onmouseover=location=/javascript:alert%28%29/.source qq[/flash]
最终测试输出:
就这样搞定了……因为flash的高宽值都可控,所以基本上小移动一下鼠标就中招了。
漏洞证明:
攻击者植入恶意代码,并发帖(也可以是回复 一样的嘛):
受害者打开被植入恶意代码的帖子时会遭受跨站脚本攻击:
修复方案:
没看代码也不好说怎么修复,你们是专业的 抽时间修复一下吧
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-06-09 10:16
厂商回复:
非常感谢你对我们的支持与关注,该漏洞我们会尽快修复~
最新状态:
暂无
漏洞评价:
评论
-
2014-06-09 10:48 |
索马里的海贼 ( 普通白帽子 | Rank:254 漏洞数:24 | http://tieba.baidu.com/f?kw=WOW)
-
2014-06-09 10:52 |
寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)
-
2014-06-09 12:39 |
YouYaX(乌云厂商)
-
2014-06-09 12:39 |
寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)
-
2014-06-09 12:40 |
YouYaX(乌云厂商)
-
2014-08-12 07:44 |
小飞 ( 实习白帽子 | Rank:37 漏洞数:12 | 挖洞对于16岁的我来说实在是太艰难了!10...)
-
2014-08-12 11:44 |
mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )
@小飞 今天早上起来看了一下,还是有xss的嘛(个人资料里的个人网站,投稿啥的)。还有后台的一些高危的操作,像添加管理员,执行sql 那些貌似也没个csrf token。
-
2014-08-12 13:19 |
小飞 ( 实习白帽子 | Rank:37 漏洞数:12 | 挖洞对于16岁的我来说实在是太艰难了!10...)
@mramydnei 叼了。。。 m锅看到能打到后台的没啊,我的大学好多都用这个cms
-
2014-08-12 14:53 |
mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )