当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-092681

漏洞标题:WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设

相关厂商:华美科技(苏州)有限公司

漏洞作者: 路人甲

提交时间:2015-01-19 15:40

修复时间:2015-03-05 15:42

公开时间:2015-03-05 15:42

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-19: 细节已通知厂商并且等待厂商处理中
2015-01-22: 厂商已经确认,细节仅向厂商公开
2015-02-01: 细节向核心白帽子及相关领域专家公开
2015-02-11: 细节向普通白帽子公开
2015-02-21: 细节向实习白帽子公开
2015-03-05: 细节向公众公开

简要描述:

WinMail邮件系统是公司企业、大专院校、中小学校、集团组织、政府部门的企业邮局系统架设软件。但它有xss漏洞。

详细说明:

WinMail邮件系统是公司企业、大专院校、中小学校、集团组织、政府部门的企业邮局系统架设软件。它的典型客户涵盖了政府机关、政府信息中心、税务机关、军队公安武警、法院,检察院系统、监狱系统、事业单位、新闻报社、电视媒体.....,总之使用单位相当多,但是它出xss了,并且简单绕过,使其过滤规则形同虚设,从而xss满屏跑。

xss漏洞一:不需要绕过就能触发型,方式,在邮件标题处写上测试代码<style><img src="</style><img src=x onerror=alert(1)//">,然后打开信件点击回复,即可触发,效果如下图:

winmail1QQ图片20150119151130.png



当然仅仅是这个层次的xss,我们是无法满意的,一不够隐蔽;二不够直接,我们的要求是打开就弹。下来我们对邮箱富文本区域进行测试,测试代码
<img src=# style="display:none" onerror=alert(0)>,发送抓发,如图:

winmail222QQ图片20150119151627.jpg

,分析发现'<'括号存在,onerror存在(多了个双引号),style存在,不存在的有等号以及等号后面紧跟的一个字母,根据几年研究邮箱xss漏洞的经验,该处只要使用3D即可击垮该富文本区域的过滤机制,重新修改测试代码为<img src=3D# style=3D"display:none" onerror=3Dalert(0)>,发信,打开信,弹框如下:

win1QQ图片20150119152608.jpg


抓包结果展示如下:

win2QQ图片20150119152642.jpg


至于其他的测试代码,只需要仿照上面处理下等号,即可随意实现xss。

漏洞证明:

WinMail邮件系统是公司企业、大专院校、中小学校、集团组织、政府部门的企业邮局系统架设软件。它的典型客户涵盖了政府机关、政府信息中心、税务机关、军队公安武警、法院,检察院系统、监狱系统、事业单位、新闻报社、电视媒体.....,总之使用单位相当多,但是它出xss了,并且简单绕过,使其过滤规则形同虚设,从而xss满屏跑。

xss漏洞一:不需要绕过就能触发型,方式,在邮件标题处写上测试代码<style><img src="</style><img src=x onerror=alert(1)//">,然后打开信件点击回复,即可触发,效果如下图:

winmail1QQ图片20150119151130.png



当然仅仅是这个层次的xss,我们是无法满意的,一不够隐蔽;二不够直接,我们的要求是打开就弹。下来我们对邮箱富文本区域进行测试,测试代码
<img src=# style="display:none" onerror=alert(0)>,发送抓发,如图:

winmail222QQ图片20150119151627.jpg

,分析发现'<'括号存在,onerror存在(多了个双引号),style存在,不存在的有等号以及等号后面紧跟的一个字母,根据几年研究邮箱xss漏洞的经验,该处只要使用3D即可击垮该富文本区域的过滤机制,重新修改测试代码为<img src=3D# style=3D"display:none" onerror=3Dalert(0)>,发信,打开信,弹框如下:

win1QQ图片20150119152608.jpg


抓包结果展示如下:

win2QQ图片20150119152642.jpg


至于其他的测试代码,只需要仿照上面处理下等号,即可随意实现xss。

修复方案:

重写富文本区域的xss过滤机制吧,另外对信件信头区域做防xss处理。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-01-22 16:29

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向软件生产厂商通报。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-02-21 20:02 | 随随意意 ( 普通白帽子 | Rank:160 漏洞数:35 | 我对XSS并非真爱(┬_┬)最近有人冒充该...)

    为什么是3D