漏洞概要
关注数(24)
关注此漏洞
漏洞标题:人人网主站任意URL跳转漏洞
提交时间:2014-07-01 16:23
修复时间:2014-08-15 16:24
公开时间:2014-08-15 16:24
漏洞类型:URL跳转
危害等级:低
自评Rank:3
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-07-01: 细节已通知厂商并且等待厂商处理中
2014-07-01: 厂商已经确认,细节仅向厂商公开
2014-07-11: 细节向核心白帽子及相关领域专家公开
2014-07-21: 细节向普通白帽子公开
2014-07-31: 细节向实习白帽子公开
2014-08-15: 细节向公众公开
简要描述:
貌似过滤了些什么,又写错了什么(正则?)
详细说明:
今天在找一东西,找着找着跑到Bugzilla去了。发现有人提交了个火狐BUG(当然,没有人认为那是个BUG),不过笔者正好是以人人网为某处的URL跳转为例(用的data URI),就拿来看了下,结果发现了一点小问题(本来是想a.com@b.com解决战斗的,发现有点不好使 看来是修过几次了吧?)。
听说加点正则才能显得高大上,所以我也来一段吧。你们判断URL合法性的正则大概是这个样子(当然可能会有些出入,因为我懒得翻 但是犯的错误是一样的):
这是开发者会犯的一个共同错误,就是这个"."的错误使用。因为点在正则中代表任意字符。
漏洞证明:
第一个bypass例子:
这会跳转到http://renren.com.example.com/
第二个bypass例子:
这会跳转到某色情站点。至于这个域名为什么会和renren网如此相似,就有待考察了。
第三个bypass:
接着说一下data URI的问题。前些日子@梧桐雨 同学正好在zone发了个firefox的URL SPoofing(其实在safari下也是有效的。只不过在地址栏当中%20还是会呈现为%20)。我们先在我的域名做一个钓鱼页面.然后用iframe把钓鱼页面嵌套进来,经过base64编码后,再放到data URI当中。最终的URL看起来会是这样:
视觉效果截图:
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-07-01 16:26
厂商回复:
感谢
最新状态:
暂无
漏洞评价:
评论
-
2014-07-01 17:45 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2014-07-23 20:29 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)