当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0171637

漏洞标题:一个可行的窃取QQmail cookie的方法

相关厂商:腾讯

漏洞作者: he1renyagao

提交时间:2016-01-21 16:35

修复时间:2016-03-07 10:49

公开时间:2016-03-07 10:49

漏洞类型:敏感信息泄露

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-21: 细节已通知厂商并且等待厂商处理中
2016-01-22: 厂商已经确认,细节仅向厂商公开
2016-02-01: 细节向核心白帽子及相关领域专家公开
2016-02-11: 细节向普通白帽子公开
2016-02-21: 细节向实习白帽子公开
2016-03-07: 细节向公众公开

简要描述:

只是觉得这个漏洞有意思就发出来,危害可大可小。
利用qq 邮箱某个泄露sid的页面,普通邮箱和企业邮箱存在一样的问题

详细说明:

1、泄露sid的页面(测试时只有google浏览器有,具体不清楚):腾讯邮箱在写信的页面上,存在一个img标签,指向www.google.com/images/logo.png ,其中这个img请求的referer带上了邮箱的sid

QQ图片20160121135838.png


2、利用腾讯邮箱的一个get类型的反射xss,(链接上需要sid)
格式具体为 http://mail.qq.com/xxx/?sid=sid&xxxxxx
利用方法: 因为国内对www.google.com 的域名进行了封锁,很多用户上不去google,就会去找各种**的方法,其中一种就是绑定host(网上公开的有一堆吧),这也正是这次漏洞的原因。如果我们设置一个google的反向代理,捕获请求的referer,这样就会有可能抓到邮箱的sid。(触发条件:用户绑定了www.google.com 的host,并且访问了邮箱的写信功能)。 抓到sid之后,还需要一个csrf请求。请求存在反射xss的那个链接,这样就可盗取cookie了(前提:页面的权限还在,即cookie还未过期)。

222.png


如何发起这个csrf请求,这个具体我想到的方法是在用户google访问的界面上假装插入广告,利用获取到的sid,发起请求。----未具体实施

漏洞证明:

我只做到了完成了设置google的反响代理--保存referer信息--窃取sid的过程,后续有点复杂就没有继续完成,条件的苛刻点很多,问题可大可小吧。 反射的那个位置,tsrc跟其他漏洞一起上提交过,似乎是因为需登录状态才有影响就没修复。

修复方案:

定位代码位置,删除标签

版权声明:转载请注明来源 he1renyagao@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2016-01-22 14:20

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无


漏洞评价:

评价

  1. 2016-01-22 14:47 | sqlfeng ( 普通白帽子 | Rank:396 漏洞数:58 | http://weibo.com/fds1986)

    非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

  2. 2016-01-22 15:10 | Moonbow ( 实习白帽子 | Rank:54 漏洞数:22 | 我就是个渣渣)

    为啥腾讯的分都给那么低?是怪我们没去他自己的sec?

  3. 2016-01-22 15:35 | thewind ( 普通白帽子 | Rank:149 漏洞数:37 | 小白……)

    前排围观

  4. 2016-01-22 15:50 | 追寻 ( 普通白帽子 | Rank:136 漏洞数:33 | 呵呵哒!)

    mark

  5. 2016-01-22 16:21 | 枫子 ( 路人 | Rank:10 漏洞数:3 | 生命不息,学而不尽!)

    非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

  6. 2016-01-22 17:02 | he1renyagao ( 普通白帽子 | Rank:230 漏洞数:30 | 是金子总会发光,在还未发光之前,先磨磨)

    这个几乎不会引起被攻击者的注意,不需要发信,也不针对哪个用户。 或许你host绑定google域名之后就会无意中丢失账号。

  7. 2016-01-22 17:32 | Mark0smith ( 普通白帽子 | Rank:115 漏洞数:48 )

    期待

  8. 2016-01-22 21:33 | 血色 ( 路人 | Rank:11 漏洞数:1 | 一个不断努力的学习者!)

    非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理-----好像运营商都喜欢这样说

  9. 2016-01-22 23:23 | ddy ( 实习白帽子 | Rank:45 漏洞数:17 | 其实第一次要我挖洞我是拒绝的。因为,你不...)

    多年hosts上google的我菊花一紧

  10. 2016-02-14 04:44 | 小龙 ( 普通白帽子 | Rank:1495 漏洞数:386 | 乌云有着这么一群人,在乌云学技术,去某数...)

    50块钱把自己的洞买回家了:)