漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0107526
漏洞标题:QQ邮箱Android客户端存在存储型跨站脚本攻击漏洞
相关厂商:腾讯
漏洞作者: nextdoor
提交时间:2015-04-12 21:46
修复时间:2015-07-12 22:54
公开时间:2015-07-12 22:54
漏洞类型:远程代码执行
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-04-12: 细节已通知厂商并且等待厂商处理中
2015-04-13: 厂商已经确认,细节仅向厂商公开
2015-04-16: 细节向第三方安全合作伙伴开放
2015-06-07: 细节向核心白帽子及相关领域专家公开
2015-06-17: 细节向普通白帽子公开
2015-06-27: 细节向实习白帽子公开
2015-07-12: 细节向公众公开
简要描述:
QQ邮箱Android客户端
QQ邮箱Android客户端,提供实时的新邮件提醒,流畅的邮件收发体验。让你在手机上也能高效管理自己的QQ邮箱。
主要功能特性:
1. 新邮件到达提醒
2. 写邮件支持上传照片和本地文件作为附件
3. 在线预览,或通过本地应用直接打开附件
4. 搜索某个或所有文件夹下的邮件
5. 收取、管理收件箱、群邮件以及个人文件夹和其他邮箱下的所有邮件
6. 支持企业邮箱用户登录与使用
7. 手机端数据与电脑端实时同步
详细说明:
详细说明
一、介绍下QQ邮箱
QQ邮箱安卓手机客户端可以提供除QQ自己的邮件收发外,还可以对163,sohu,sina,以及企业自己的邮箱提供邮件服务,使用量非常大。仅仅百度手机助手和豌豆荚两个网站就达到了
4000万的用户量。
二,我们首先自己搭建一个原始的服务器,存在很多XSS漏洞的邮件服务器。
对QQ手机邮箱进行XSS测试,发现QQ邮箱进行测试后发现存在XSS漏洞。
测试后发现QQ邮箱客户端对script,img,iframe等危险标记没有过滤,导致
XSS漏洞,其他的腾讯安全人员自测一下。
我先用自己的邮件服务器发一个所有其他测试邮箱都能收到的邮件。邮件中
插入恶意代码
发送我们的邮件到自己的邮箱、qq邮箱、163邮箱、搜狐邮箱、新浪邮箱等,为了防止被社,我对自己的测试邮箱打了码。
恶意代码插入网页
三,把我们各种邮箱在QQ邮箱客户上绑定。
邮箱客户端上我们绑定的各种测试邮箱
自己邮箱的测试成功
代码执行
QQ邮箱测试不能执行XSS代码,可能QQ的邮件在自己的邮件服务器上做了过滤,导致不能执行。
163邮箱
搜狐邮箱
新浪邮箱
发现除了QQ邮箱其他都能执行XSS代码,可以判断除QQ外的邮箱均存在XSS漏洞。
四、至于利用过程我也不多说了,可以利用JS进行劫持,盗cookie,盗手机短信内容,
盗取联系人信息等等。
漏洞证明:
已证明
修复方案:
无
版权声明:转载请注明来源 nextdoor@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2015-04-13 17:49
厂商回复:
问题已着手处理,感谢对腾讯业务安全的关注。
最新状态:
暂无