漏洞概要
关注数(24)
关注此漏洞
漏洞标题:360极速浏览器7.5及以下版本同源策略实现漏洞可以查看其他网站密码
提交时间:2015-04-13 15:51
修复时间:2015-04-13 16:37
公开时间:2015-04-13 16:37
漏洞类型:非授权访问/认证绕过
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-04-13: 细节已通知厂商并且等待厂商处理中
2015-04-13: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-06-07: 细节向核心白帽子及相关领域专家公开
2015-06-17: 细节向普通白帽子公开
2015-06-27: 细节向实习白帽子公开
2015-04-13: 细节向公众公开
简要描述:
360极速浏览器7.5及以下版本保存密码泄漏
详细说明:
360极速浏览器7.5及以下存在密码保存同源机制错误配置的风险。
IDA查看主dll文件
结合调试,可发现,以www.cnvd.org.cn的保存密码为例。
360极速浏览器密码读取机制为:
SELECT origin_url, action_url, username_element,username_value, 'password_element, password_value, submit_element,signon_realm, ssl_valid, preferred, date_created, blacklisted_by_user, schemeFROM logins WHERE ( signon_realm LIKE '%domainname%' )
若域名是www.cnvd.org话,则程序运行逻辑为:
SELECT origin_url, action_url, username_element,username_value, 'password_element, password_value, submit_element,signon_realm, ssl_valid, preferred, date_created, blacklisted_by_user, schemeFROM logins WHERE ( signon_realm LIKE '%cnvd.org%' )
根据like语句的取数据方法,www.cnvd.org.cn刚好符合上述条件,因此www.cnvd.org.cn的用户名和密码被筛选出来,但www.cnvd.org与www.cnvd.org.cn是完全不同的网站。
www.cnvd.org.cn的保存密码可以被如下密码所读取
%cnvd.org.cn%
%nvd.org.cn%
%vd.org.cn%
%d.org.cn%
%cnvd.org%
%nvd.org%
%vd.org%
%d.org%
%d.o%
因此上述保存密码属于错误的同源策略配置,导致保存密码被若干不同源域名读取。
漏洞证明:
www.cnvd.org指向了127.0.0.1
可以在www.cnvd.org.cn保存密码,然后通过www.cnvd.org域名用基本的用户名密码框即可读取。
实际攻击时,只需要上述表单自动提交就行,即可实现远程窃取保存密码。
一个页面中可以包含若干个frame,实现批量获取360极速浏览器中保存密码,当然有前提条件需要符合条件的域名或者在符合条件的域名上找到漏洞。但由于有很多的可选域名,譬如cmbchina.com,因此这并不是一个苛刻的条件,甚至很轻松。
修复方案:
密码是重要的重要敏感信息,应严格按照同源策略来保存(完整域名+端口+页面)和提取。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-04-13 16:37
厂商回复:
此问题属于chrome内核老版本已知问题,360极速浏览器早已修复。目前360极速浏览器线上版本(v8.1/v8.2)均不受此问题影响。
洞主将此问题提了360SRC又提Cert,现在又提到Wooyun,辛苦洞主了,感谢您对360安全的关注。
最新状态:
2015-04-13:洞主在360src报告此漏洞时自己都已经明确说明了,此问题不影响线上最新360极速浏览器8.0及以上版本,我们是按照360src的规则忽略的,已知且已修复的安全漏洞不给予确认奖励,不知道为何提交到其他地方,都不再提最新版本已经修复的事情。
2015-04-13:@varas-ra 您对360SRC处理此漏洞报告的过程有些误解,现详细说明下:1.360src接到漏洞报告后,和业务团队进行验证,漏洞报告是验证状态,并未确认。2.业务团队回应此漏洞是chrome自身安全问题,早已已知并对外公开,且在漏洞报告之前,360极速浏览器已在新版中修复。3.漏洞提交者回应确认测试的是7.5老版本,漏洞不影响8.0及以上新版本。4.通知漏洞提交者7.X版本属于旧版本,极速8.0正式版在去年就已推出,漏洞报告前7.X已计划停止下载,360src按照漏洞处理的基本原则,判定此漏洞报告无效。5.对于受此问题影响的老版本用户,360软件管家和浏览器自身都有升级提醒功能,可以帮助用户升级到最新的稳定版本。
漏洞评价:
评论
这些评论似乎很乌云~~~思密达
-
2015-04-13 16:47 |
xsser 
( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
有漏洞应该及时提醒用户升级啊,但是似乎没有看到这样的公告,乌云欢迎和鼓励漏洞的公开透明处理 :)
-
2015-04-13 16:53 |
varas-ra ( 路人 | Rank:21 漏洞数:7 | varas-ra)
一开始 提交360src 360src自己确认了这个问题(目测之前压根就不知道这个问题) 但确认后把官网7.5的下载链接撤掉了 然后忽略该漏洞按照负责人披露原则 厂商忽略 当然可以公开了 cert和wooyun都是360src忽略之后的事情了而且这个漏洞 可能危及广大用户密码安全 有必要公开 藏着掖着算啥
-
2015-04-13 15:54 |
有一种精神叫helen ( 实习白帽子 | Rank:31 漏洞数:22 )
-
2015-04-13 15:54 |
Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)
-
2015-04-13 15:54 |
浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)
-
2015-04-13 15:55 |
孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)
-
2015-04-13 15:55 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
-
2015-04-13 15:55 |
BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )
-
2015-04-13 15:59 |
ganggang ( 路人 | Rank:4 漏洞数:2 | 这个号是来乌云聊天的....)
-
2015-04-13 16:03 |
varas-ra ( 路人 | Rank:21 漏洞数:7 | varas-ra)
-
2015-04-13 16:07 |
an0nym0u5 ( 普通白帽子 | Rank:172 漏洞数:31 )
-
2015-04-13 16:10 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2015-04-13 16:16 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2015-04-13 16:16 |
todaro ( 实习白帽子 | Rank:39 漏洞数:12 | 完结。)
@xsser 我觉得是以前chrome走过的安全坑,它也要走一遍?
-
2015-04-13 16:31 |
梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)
-
2015-04-13 16:37 |
泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)
-
2015-04-13 16:42 |
greg.wu ( 普通白帽子 | Rank:815 漏洞数:99 | 打酱油的~)
-
2015-04-13 16:43 |
子非海绵宝宝 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
-
2015-04-13 16:44 |
秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)
-
2015-04-13 16:44 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
洞主看来,,,360知道你是谁,并也知道你的为人 哈哈
-
2015-04-13 16:46 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2015-04-13 16:46 |
天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)
-
2015-04-13 16:47 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
有漏洞应该及时提醒用户升级啊,但是似乎没有看到这样的公告,乌云欢迎和鼓励漏洞的公开透明处理 :)
-
2015-04-13 16:49 |
varas-ra ( 路人 | Rank:21 漏洞数:7 | varas-ra)
7.5之前版本存在了很长时间 而且目测现在还有很多人在用7.5 至少要让大家清楚原来有问题 不是藏着掖着 这是对用户负责 因为这有可能已经引起部分人密码泄漏了
-
2015-04-13 16:53 |
varas-ra ( 路人 | Rank:21 漏洞数:7 | varas-ra)
一开始 提交360src 360src自己确认了这个问题(目测之前压根就不知道这个问题) 但确认后把官网7.5的下载链接撤掉了 然后忽略该漏洞按照负责人披露原则 厂商忽略 当然可以公开了 cert和wooyun都是360src忽略之后的事情了而且这个漏洞 可能危及广大用户密码安全 有必要公开 藏着掖着算啥
-
2015-04-13 16:53 |
香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)
-
2015-04-13 16:54 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2015-04-13 16:59 |
梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)
-
2015-04-13 16:59 |
xyang ( 普通白帽子 | Rank:242 漏洞数:51 | stay hungry stay foolish)
-
2015-04-13 17:19 |
泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)
-
2015-04-13 17:47 |
顾顾顾金威 ( 实习白帽子 | Rank:54 漏洞数:12 | 拉拉拉拉阿拉拉拉)
-
2015-04-13 18:13 |
奇虎360(乌云厂商)
@varas-ra 360src处理漏洞报告的过程:1.360src接到漏洞报告后,和业务团队进行验证,漏洞报告是验证状态,并未确认。2.业务团队评估此漏洞是chrome自身安全问题,早已已知并对外公开,且在漏洞报告之前,360极速浏览器已在新版中修复。3.360src沟通漏洞有效性,漏洞提交者回应确认测试的是7.5老版本,漏洞不影响8.0及以上新版本。4.通知漏洞提交者7.X版本属于旧版本。由于极速8.0正式版在去年2014年就已推出,漏洞报告前7.X就已计划停止下载。所以360src按照漏洞处理的基本原则,判定此漏洞报告无效。5.关于软件升级,对于受此问题影响的老版本用户,360软件管家和浏览器自身都有升级提醒功能,可以帮助用户升级到最新的稳定版本。
-
2015-04-13 18:26 |
f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)
-
2015-04-13 20:39 |
Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)
-
2015-04-13 21:21 |
varas-ra ( 路人 | Rank:21 漏洞数:7 | varas-ra)
@奇虎360 360chrome 7.5 采用的是chrome 30的内核 经过测试 chrome30内核以及若干低版本内核都不存在这个明显错误的问题 怎么评估得出来是chrome自身安全问题?何况如果明知360极速浏览器内核有问题而且就像您说的是公开的,为何还用这个内核?而且在提交漏洞时,360极速浏览器官网7.5版本是放在首页提供下载的,说明在提交漏洞时7.5是业务线的一部分。另外,新版本是简单替换了内核,并非是修复该问题,如果早就知道7.5有问题,何必把7.5挂在首页放那么久,不管用户密码安全么。漏洞标题专门强调了是7.5及以下版本这不够么?7.5及以下版本有多少用户你们最清楚,这种有大面积用户的软件,用户有权利知道自己的安全状态,封闭起来就安全了么,能做的就是让大家知晓这个安全风险,请您见谅。
-
2015-04-13 21:54 |
孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)
-
2015-04-13 23:08 |
zhxs ( 实习白帽子 | Rank:32 漏洞数:19 | Jyhack-TeaM:http://bbs.jyhack.com/)
-
2015-04-13 23:48 |
Arthur ( 实习白帽子 | Rank:77 漏洞数:33 | USA,I am coming!!!!!)
-
2015-04-14 09:29 |
惜朝 ( 路人 | Rank:4 漏洞数:9 | ><>)
@奇虎360你们那个补天平台审核真是个渣渣。提交的欲望都没有。
-
2015-04-14 09:43 |
hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)
-
2015-04-14 18:36 |
0c0c0f ( 实习白帽子 | Rank:48 漏洞数:15 | My H34rt c4n 3xploit 4ny h0les!)
-
2015-04-14 20:09 |
also ( 普通白帽子 | Rank:424 漏洞数:52 | 招渗透/php/前端/ios&android安全,广州地...)
-
2015-04-14 20:33 |
耐小心 ( 路人 | Rank:12 漏洞数:5 | 噗 我是新手 新手求罩)
既然是老版本的问题。为什么不告知用户?为什么不通知用户7.5的版本存在漏洞。这个才是你们考虑的。而不是考虑怎么样藏着掖着
-
2015-04-14 22:38 |
catcat520 ( 路人 | Rank:20 漏洞数:4 | 大家好,我是刚学网络 00后,求照顾,谢谢)
没有洞客户电脑就问题,客户电脑没问题,就不会需要360,不需要360帮忙就没业绩,没业绩就没奖金,这不是简单的一个洞,这是人心的一个洞
-
2015-04-14 23:15 |
魔鬼的步伐 ( 实习白帽子 | Rank:63 漏洞数:16 | 一步两步,是魔鬼的步伐)
-
2015-04-15 04:37 |
Rainism ( 路人 | Rank:11 漏洞数:3 | hacking for fun)
@varas-ra 使劲顶你!360推卸的太干净了,高,实在是高
-
2015-04-16 07:59 |
找寻者 ( 路人 | Rank:2 漏洞数:1 | 学习啊)
一直以来都对360有偏见,不为什么,就为我也是做互联网的,虽然我只是个程序员!之前我工作的时候,如果我是技术负责人,那么我部门的全部电脑不会出现任何360,不为啥,仅仅是因为我对那有偏见。。。
-
2015-04-17 16:15 |
黑色的屌丝 ( 路人 | Rank:27 漏洞数:5 | →_→→_→)
-
2015-04-17 18:04 |
ganggang ( 路人 | Rank:4 漏洞数:2 | 这个号是来乌云聊天的....)
@找寻者 你说的好有道理,到底是什么道理,360竟无言以对...
-
2015-04-17 20:18 |
找寻者 ( 路人 | Rank:2 漏洞数:1 | 学习啊)
-
2015-04-17 23:40 |
nony ( 路人 | Rank:28 漏洞数:13 | Not do is die...)
-
2015-04-18 01:21 |
毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)
@varas-ra 淡定淡定~以后360的问题直接打脸就行了,没必要再给他们提交了。想当初给他们提交了一个文件防护绕过,第二天修复完了然后告诉我漏洞不存在,忽略~
-
2015-04-20 08:24 |
zph ( 普通白帽子 | Rank:235 漏洞数:43 )
-
2015-05-12 00:27 |
昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)
极速模式用的是chrome的内核,所以厂商应该是chrome才对啊!
