当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0185542

漏洞标题:QQ邮箱ios版存储型XSS漏洞

相关厂商:腾讯

漏洞作者: mramydnei

提交时间:2016-03-17 09:52

修复时间:2016-06-15 11:20

公开时间:2016-06-15 11:20

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-17: 细节已通知厂商并且等待厂商处理中
2016-03-17: 厂商已经确认,细节仅向厂商公开
2016-03-20: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-05-11: 细节向核心白帽子及相关领域专家公开
2016-05-21: 细节向普通白帽子公开
2016-05-31: 细节向实习白帽子公开
2016-06-15: 细节向公众公开

简要描述:

详细说明:

问题出现在QQ邮箱ios版附件的XSS防御上。
起初是测试下面的vector时发现可以执行自定义的JavaScript:

<body> 。frame onload=confirm(/kcf/)&gt; <img src=x:x onerror="innerHTML=previousSibling.nodeValue.replace('。','<')"> </body>


想当然的就以为是QQ邮箱的JS sandbox被我bypass了。不过经过后面几次加试发现是因为image tag前方的特殊字符[。]导致后面的xss vector没有被拦截。
※对于[。]的可替代性没有做太多的测试。粗略的测试了一下应该是数字字母和一般的特殊符号结束后的unicode区域。

漏洞证明:

将下面的vector保存成test.htm并发送给受害者。

○<img src=x onerror="prompt(/pwned/)">


受害者预览附件时会遭受XSS攻击(如下图)

96446BF5E49C36BD4DD3092D47DA2BFF.png


修复方案:

该产品有很多诡异的表现,不太好说要怎么修复。

版权声明:转载请注明来源 mramydnei@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-03-17 11:11

厂商回复:

非常感谢您的报告。该问题已经确认并已着手处理。如果您有任何的疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-03-17 09:57 | he1renyagao ( 普通白帽子 | Rank:235 漏洞数:31 | 是金子总会发光,在还未发光之前,先磨磨)

    牛逼真不是吹的

  2. 2016-03-17 10:05 | Aasron ( 普通白帽子 | Rank:871 漏洞数:161 | raw_input("你知道我要输入什么?"))

    6

  3. 2016-03-17 10:22 | 晓庄 ( 路人 | Rank:29 漏洞数:7 | Make money.)

    火车不是推的

  4. 2016-03-17 10:51 | 随风的风 ( 普通白帽子 | Rank:255 漏洞数:95 | 微信公众号:233sec 不定期分享各种漏洞思...)

    握草。。6666

  5. 2016-03-17 13:05 | zmx ( 普通白帽子 | Rank:164 漏洞数:42 | wooyun)

    是APP?

  6. 2016-03-17 14:04 | px1624 ( 普通白帽子 | Rank:1149 漏洞数:207 | px1624)

    我信洞主!

  7. 2016-03-17 14:08 | Aasron ( 普通白帽子 | Rank:871 漏洞数:161 | raw_input("你知道我要输入什么?"))

    @px1624 我信px得永生

  8. 2016-03-17 20:01 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

    @zmx 嗯 是app

  9. 2016-03-17 20:26 | 香草 ( 实习白帽子 | Rank:99 漏洞数:15 | javascript,xss,jsp、aspx)

    我信

  10. 2016-03-20 13:12 | 陆由乙 ( 普通白帽子 | Rank:597 漏洞数:133 | 我是突突兔!)

  11. 2016-03-20 21:40 | zhchbin ( 普通白帽子 | Rank:153 漏洞数:31 )

    M神,这个是fuzz出来的?好6!!

  12. 2016-03-20 22:13 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

    @zhchbin 这个不是fuzz出来的,但和测试方法关系大一些。

  13. 2016-03-20 23:02 | annt ( 路人 | Rank:2 漏洞数:1 | 无)

    @px1624 0.0 你也看洞主直播么。。。

  14. 2016-03-21 10:09 | SH0X8001 ( 路人 | Rank:25 漏洞数:6 | 你猜)

  15. 2016-04-13 17:58 | Mazing ( 路人 | Rank:27 漏洞数:6 )

    啊。我什么时候才能摆脱见框就插的地步啊。

  16. 2016-06-01 17:09 | px1624 ( 普通白帽子 | Rank:1149 漏洞数:207 | px1624)

    没试试web或者m端?还是只有ios可以?

  17. 2016-06-02 02:33 | 随随意意 ( 普通白帽子 | Rank:175 漏洞数:36 )

    以前提交过。亲,问题经过仔细研究,得出以下结论,首先点开html文件会下载到手机本地,然后访问该文件,属于正常功能,且没有作用域,所以没有危害,故不通过审核,望见谅,再接再厉,与君共勉 14年乌云回复您好,无危害,暂不处理。 14年tsrc回复。。。。。。。

  18. 2016-06-02 10:54 | 随风的风 ( 普通白帽子 | Rank:255 漏洞数:95 | 微信公众号:233sec 不定期分享各种漏洞思...)

    @随随意意 哈哈哈。。。真的?来个链接

  19. 2016-06-03 20:11 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

    @px1624 测试结果是只有ios可以。报告里没有提到,顺便在这里补充一下。测试附件的编码是sjis+tag前面的字符也是日文的句号。如果附件的编码是utf-8,上述的测试向量是不会触发的。

  20. 2016-06-03 20:12 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

    @随随意意 看截图可以看到js被执行的域名是什么。

  21. 2016-06-03 20:44 | px1624 ( 普通白帽子 | Rank:1149 漏洞数:207 | px1624)

    @mramydnei 。。。把各个国家的语言编码都测一遍

  22. 2016-06-03 21:47 | 数据流 认证白帽子 ( 普通白帽子 | Rank:817 漏洞数:100 | 没关系啊,我们还有音乐)

    @随随意意 睁大你眼睛看看截图里是哪个域的!

  23. 2016-06-04 00:27 | px1624 ( 普通白帽子 | Rank:1149 漏洞数:207 | px1624)

    @随随意意 ...这是有效域的~

  24. 2016-06-05 14:20 | 随随意意 ( 普通白帽子 | Rank:175 漏洞数:36 )

    @mramydnei @数据流 @px1624 没仔细看是有效域的~,只注意到了位置是一样的。。。