新浪核心站点高危XSS+涉及缺陷隐患可造成大规模蠕虫攻击+劫持微博账号

漏洞概要

缺陷编号:WooYun-2015-0126058

漏洞标题:新浪核心站点高危XSS+涉及缺陷隐患可造成大规模蠕虫攻击+劫持微博账号

相关厂商:新浪

漏洞作者:黑暗游侠

提交时间:2015-07-12 10:05

公开时间:2015-08-28 17:32

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-12: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商已经确认,细节仅向厂商公开
2015-07-24: 细节向核心白帽子及相关领域专家公开
2015-08-03: 细节向普通白帽子公开
2015-08-13: 细节向实习白帽子公开
2015-08-28: 细节向公众公开

简要描述:

新浪核心站点高危XSS+涉及缺陷隐患可造成大规模蠕虫攻击+劫持微博账号

详细说明:

从发现到利用大概研究了快50分钟了,写完睡觉去,快1点了新浪show

核心站点,业务范围不多介绍了漏洞简单描述一下:个人空间处

发表日志处添加音乐,插入xss即可

方便测试,给出简洁的demo地址,直接访问即可触发demo alert(wooyun):

======================================漏洞讲完了,重点讲利用过程新浪所有核心重要站点cookie都做了httponly,cookie其实并么有什么卵用看一下cookie就一目了然了

show有两种登录方式,

经过反复测试:若用户A登陆的是show账号,没有登录微博,那么只能造成第一种蠕虫:

抓包构造内容发送即可。若用户A登陆show用的是微博登陆方式,而不是shwo账号,只能造成第二种蠕虫(因为show空间日志系统不对非show账号的用户开放,无法开通):

参考:

A Simple Result:

若用户A登陆show用的是show账号,另外别的标签页登陆了微博,那么两种蠕虫传播方式均可#劫持用户微博账号新浪sso认证体系中存在这样一个隐患微博用户访问以下URL可以获得ticket:

关键的是:

所以get了ticket访问以下URL:

即可在另一地方登陆该用户微博账户。本地测试用的是微博账号登陆show,访问构造好的脚本xss,服务端下的结果:

打开Firefox来访问:

访问weibo.com最终结果,成功劫持:

(End)睡觉去

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-07-1417:32

厂商回复:

感谢支持,漏洞修复中

最新状态:

暂无

评价

  1. 2010-01-01 00:00 myhalo 白帽子 | Rank:241 漏洞数:22)

    我擦,路人甲又发功了,这个不是闪电么。。。

  2. 2010-01-01 00:00 笔墨 白帽子 | Rank:61 漏洞数:12)

    666

  3. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @myhalo @疯狗 狗哥,围观的绿帽子都觉的应该可以有闪电

  4. 2010-01-01 00:00 myhalo 白帽子 | Rank:241 漏洞数:22)

    @黑暗游侠 我擦,你妹啊,我是白妹子,你才绿帽子,擦擦擦擦

  5. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @myhalo 原来是绿妹子哈,我还以为绿帽子呢

  6. 2010-01-01 00:00 myhalo 白帽子 | Rank:241 漏洞数:22)

    @黑暗游侠 这个闪电没了

  7. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    是啊没事

  8. 2010-01-01 00:00 小川 白帽子 | Rank:1367 漏洞数:158)

    show......第三方合作站的xss,核心个毛线啊,上了首页就不错了,不过思路还是不错