当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-073191

漏洞标题:时光网前端礼包大放送 XSS+CSRF 各种刷转发 回复 加关注

相关厂商:时光网

漏洞作者: 0x_Jin

提交时间:2014-08-20 16:51

修复时间:2014-08-28 16:40

公开时间:2014-08-28 16:40

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-08-20: 细节已通知厂商并且等待厂商处理中
2014-08-20: 厂商已经确认,细节仅向厂商公开
2014-08-28: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

时光网CSRF 各种刷转发 回复 加关注,当大家都在say 0x_Jin 我是何种心情?

详细说明:

今天也累了 不想挖了 但是目标得达成~
挖了万达的 就再来个时光网的吧。
首先把目光锁定在CSRF上吧 首先在测试群组的帖子的时候
发现回复那 是做的白名单限制 限制的比较严哈 (此处点个赞)
但是发现 img 标签能用 尽管无法写事件,但是此处埋下了伏笔。
然后我们把目光转向 http://my.mtime.com/
在这里 你能发一些类似于 微博一样的东西,在这里你还可以有粉丝!
于是 在此处开始测试,首先是发一条微博,发现竟然是通过get 来提交的。。。
先上图:

QQ20140820-5.png


看到这里 我简直惊呆了。。。还真有传说中的这种奇葩。。。。
但是这还不算完,继续看!
转发:

QQ20140820-6.png


加关注:

QQ20140820-7.png


这里替换成自己的ID 就可以关注自己了!
哎哟我去。。。 我简直惊呆了有木有。。。并且还无token有木有
现在包也抓到了 我们来玩csrf 好不好啊!
在前面说了 在一些回复的地方 可以插入img标签,都知道img标签的src属性可以发出get请求 那我们说做就做吧!

QQ20140820-8.png


看下src的内容:

QQ20140820-9.png


在这里看不全 因为chrome 省略了一点,但是copy as html 就看全了!
现在我们到处插了图片 我们来看看效果吧!

QQ20140820-10.png


是不是很酷炫呢,来看看大家都在说什么:

QQ20140820-11.png


大家都在说0x_Jin喔! 那感觉 。。。
好了,说好的大礼包 那就再来个存储型XSS改善下生活吧!
漏洞存在于 blog 发日志的摘要处 会被带入meta的content内 并且未做过滤!

QQ20140820-12.png


QQ20140820-13.png


可以看到xsspayload 被带入了 并且没做过滤 弹窗了
漏洞地址:http://i.mtime.com/12682108/blog/7803922/
温馨提示:请问safari打开喔!
ps:请时光网大大 不要封我号 让我潇洒一回

漏洞证明:

今天也累了 不想挖了 但是目标得达成~
挖了万达的 就再来个时光网的吧。
首先把目光锁定在CSRF上吧 首先在测试群组的帖子的时候
发现回复那 是做的白名单限制 限制的比较严哈 (此处点个赞)
但是发现 img 标签能用 尽管无法写事件,但是此处埋下了伏笔。
然后我们把目光转向 http://my.mtime.com/
在这里 你能发一些类似于 微博一样的东西,在这里你还可以有粉丝!
于是 在此处开始测试,首先是发一条微博,发现竟然是通过get 来提交的。。。
先上图:

QQ20140820-5.png


看到这里 我简直惊呆了。。。还真有传说中的这种奇葩。。。。
但是这还不算完,继续看!
转发:

QQ20140820-6.png


加关注:

QQ20140820-7.png


这里替换成自己的ID 就可以关注自己了!
哎哟我去。。。 我简直惊呆了有木有。。。并且还无token有木有
现在包也抓到了 我们来玩csrf 好不好啊!
在前面说了 在一些回复的地方 可以插入img标签,都知道img标签的src属性可以发出get请求 那我们说做就做吧!

QQ20140820-8.png


看下src的内容:

QQ20140820-9.png


在这里看不全 因为chrome 省略了一点,但是copy as html 就看全了!
现在我们到处插了图片 我们来看看效果吧!

QQ20140820-10.png


是不是很酷炫呢,来看看大家都在说什么:

QQ20140820-11.png


大家都在说0x_Jin喔! 那感觉 。。。
好了,说好的大礼包 那就再来个存储型XSS改善下生活吧!
漏洞存在于 blog 发日志的摘要处 会被带入meta的content内 并且未做过滤!

QQ20140820-12.png


QQ20140820-13.png


可以看到xsspayload 被带入了 并且没做过滤 弹窗了
漏洞地址:http://i.mtime.com/12682108/blog/7803922/
温馨提示:请问safari打开喔!
ps:请时光网大大 不要封我号 让我潇洒一回

修复方案:

csrf防御的方法一堆,最主要还是 连转发 跟发微博都get。。。 这点不太合适啊!

版权声明:转载请注明来源 0x_Jin@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-08-20 17:20

厂商回复:

谢谢 0x_Jin ,我们会尽快修复

最新状态:

2014-08-28:已修复

漏洞评价:

评论

  1. 2014-09-15 20:53 | Stardustsky ( 路人 | Rank:4 漏洞数:3 | ……)

    5分也拿得出手?

  2. 2014-09-21 20:42 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人,可能走的过程...)

    才5分?

  3. 2014-11-20 19:59 | 第四维度 ( 实习白帽子 | Rank:58 漏洞数:34 | 谦谦君子,温润如玉)

    src那个连接构造的url是怎么构造出来的?看了很多遍看不明白啊。

  4. 2014-11-20 21:30 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    @第四维度 他的加关注的链接跟发围脖的链接都是get请求 不用构造只需要更改掉关键值 然后用img去发get请求就ok了

  5. 2014-12-21 10:42 | 迦南 ( 路人 | Rank:14 漏洞数:11 | 我不是玩黑,我就是认真)

    为什么才5分?

  6. 2015-04-26 09:15 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    这。 5分也能往外拿么