当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0168943

漏洞标题:博客园 XSS 漏洞

相关厂商:博客园

漏洞作者: darklx

提交时间:2016-01-11 10:49

修复时间:2016-02-22 16:48

公开时间:2016-02-22 16:48

漏洞类型:XSS 跨站脚本攻击

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-11: 细节已通知厂商并且等待厂商处理中
2016-01-11: 厂商已经确认,细节仅向厂商公开
2016-01-21: 细节向核心白帽子及相关领域专家公开
2016-01-31: 细节向普通白帽子公开
2016-02-10: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

服务端没有对用户发表的 HTML 进行安全过滤,导致可以执行 script 代码。。

详细说明:

利用方法很傻瓜,登录博客园后,选择发表随笔,然后打开 Chrome 调试工具,把 Javasctipt Disbaled 掉,刷新下编辑器的页面。
然后把这段 script 粘贴进去就可以了。

<script>
var $if = $("<iframe />").appendTo(document.body);
var _window = $if[0].contentWindow; // 博客园把 alert 劫持了,所以利用新创建的 iframe ,把原生的 alert 方法再弄回来。
_window.alert("XSS by darklx !");
</script>


鉴于博客园的特点,攻击者先写准备好一篇干货文章,并且内嵌 script 脚本,让访客浏览时自动为这篇文章点赞,让他获得高人气常驻首页。
然后把这篇文字发表到博客园的首页候选区,既然管理员连 script 脚本都不过滤,我想他们也不会肉眼去检查里面点的代码的,只要你事先准备的文章比较好,很快就能吸引大量流量。

漏洞证明:

这个含有 XSS 的网页可以看到效果:
http://www.cnblogs.com/darklx/p/5118941.html
这是效果截图:

屏幕快照 2016-01-10 下午8.03.34.png

修复方案:

虽然博客园是一个技术博客,访客都是开发者,允许用户输入 script 代码能够带来一些自由度,但是,至少要在其它用户浏览的时候,给出一个诸如:“安全起见,博客园阻止了此页面 script 脚本的自动执行,如果该网页效果没有正常显示,请在充分了解安全风险后,点此允许该页面允许脚本”的提示(当然可以简短一点)。
更好一点的做法是,默认阻止,访客点击“允许”时,把 script 源代码用弹出层显示出来,让开发者确认安全后,再选择是否执行 script。

版权声明:转载请注明来源 darklx@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2016-01-11 23:01

厂商回复:

谢谢您发现这个问题,我们会尽快修复

最新状态:

暂无


漏洞评价:

评价