漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0152414
漏洞标题:搜狐邮箱存储型xss一枚
相关厂商:搜狐
漏洞作者: 影子哥
提交时间:2015-11-06 19:53
修复时间:2015-12-24 10:20
公开时间:2015-12-24 10:20
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-06: 细节已通知厂商并且等待厂商处理中
2015-11-09: 厂商已经确认,细节仅向厂商公开
2015-11-19: 细节向核心白帽子及相关领域专家公开
2015-11-29: 细节向普通白帽子公开
2015-12-09: 细节向实习白帽子公开
2015-12-24: 细节向公众公开
简要描述:
搜狐网盘上传文件未对文件名进行重命名,可以在linux下面创建一个带有xss代码的文件名,上传后触发存储型xss,不过漏洞有限,只能插自己,根据分享功能分享到邮箱后,也是只能插自己。后想到qq邮箱上传附件也未对文件名重命名,将上传的带有xss代码的附件发给搜狐邮箱后,触发搜狐邮箱存储型xss。
详细说明:
首先从搜狐网盘开始,由于没有对文件名过滤和重命名,所以上传一个如下名字的文件。
成功触发,不过只能插自己,通过分享功能分享到邮箱页面,同样弹了。
但是发给他人之后,浏览却不会触发,发现搜狐对其进行了过滤。
接着我们在下面的快捷回复框里面回复如下代码:
点击收件箱刚刚回复的邮件查看详细同样触发,不过刷新整个页面后被过滤掉。
以上xss都没有什么实际作用。在陷入困境的时候,想到用qq邮箱发封邮件给搜狐试试,于是在qq邮箱中上传刚刚的带有xss代码的附件。
这个时候发现qq邮箱也有这个缺陷,文件名不被重新命名,网页也可以被注入代码,但是今天的主题不是qq邮箱,就先不管了。
搜狐打开邮件,从源代码中发现附件的名字被注入到了网页中,现在只需要闭合双引号,用onmousemove这样的事件属性就可以触发xss。于是将附件名字改成如下:
继续用qq邮箱发送,打开后鼠标移动到附件名字上触发弹框,如上图。
可以看到代码被注入网页
弹一下cookie
漏洞证明:
如上面
修复方案:
过滤
版权声明:转载请注明来源 影子哥@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-11-09 10:19
厂商回复:
感谢支持。
最新状态:
暂无