[腾讯实例教程] 那些年我们一起学XSS – 1. 什么都没过滤的入门情况

漏洞概要

缺陷编号:WooYun-2012-015957

漏洞标题:[腾讯实例教程] 那些年我们一起学XSS - 1. 什么都没过滤的入门情况

相关厂商:腾讯

漏洞作者:心伤的瘦子

提交时间:2012-12-13 14:18

公开时间:2013-01-27 14:19

漏洞类型:XSS 跨站脚本攻击

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-12-13: 细节已通知厂商并且等待厂商处理中
2012-12-13: 厂商已经确认,细节仅向厂商公开
2012-12-23: 细节向核心白帽子及相关领域专家公开
2013-01-02: 细节向普通白帽子公开
2013-01-12: 细节向实习白帽子公开
2013-01-27: 细节向公众公开

简要描述:

只是些反射型XSS,单单发出来没有什么意义。
只是些反射型XSS,腾讯怎么修都修不完。
只是些反射型XSS,我想让它变得更有价值。
只是些反射型XSS,我拿他们做成了教程。

详细说明:

1. XSS的存在,一定是伴随着输入,与输出2个概念的。2. 要想过滤掉XSS,你可以在输入层面过滤,也可以在输出层面过滤。3. 如果输入和输出都没过滤。 那么漏洞将是显而易见的。4. 作为第一个最基础的例子, 我们拿出的是一个什么都没过滤(其实还是有些转义的,主要没过滤< , >)的例子。 这种例子出现在腾讯这种大网站的概率不是很高。 但是还是让我找到了一个。5. http://app.data.qq.com/?umod=commentsoutlet&act=count&siteid=3&libid=9&dataid=1480&score=1&func=haoping&_=13534752618866. 对于上面这个例子。我们可以看到什么是输入,什么是输出。

7. 经过测试,我们发现,score这个【输入】参数,没有进行任何过滤,即,输入是什么,输出就是什么? 通俗点就是“吃什么,拉什么”。。。如下图:

网页中看到的效果如下:

8. 既然可以直接输入 < > HTML标签,接下来的利用也就相对简单了。

效果如下:

漏洞证明:

见详情

修复方案:

这种XSS属于最基本的一类XSS,也最好防御。。它的模型是:<HTML标签></HTML标签>[输出]<HTML标签></HTML标签>或<HTML标签>[输出]</HTML标签>a. 通常,我们只需要在输出前,将 < , > 过滤掉即可。b. 这类XSS在小型网站中比较常见,在大型网站中少见。c. 这类XSS通常都被浏览器的XSS过滤器秒杀了,所以一般来说,威力较小。d. 对于普通用户来说,请使用IE8及以上版本(并开启XSS过滤器功能,默认开启),或chrome浏览器,将可以防御大部分此种类型的XSS攻击。

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-12-13 14:36

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    这要不是马甲我不信 @心伤的胖子

  2. 2010-01-01 00:00 http://www.wooyun.org/corps/百度 白帽子 | Rank:0 漏洞数:0)

    我信

  3. 2010-01-01 00:00 Rookie 白帽子 | Rank:241 漏洞数:48)

    这要不是马甲我不信 @心伤的胖子

    楼下跟上

  4. 2010-01-01 00:00 卖切糕的 白帽子 | Rank:5 漏洞数:1)

    你们这些人真不要脸,还搞马甲

  5. 2010-01-01 00:00 低调的瘦子 白帽子 | Rank:367 漏洞数:41)

    难道是我的马甲?

  6. 2010-01-01 00:00 Rookie 白帽子 | Rank:241 漏洞数:48)

    鄙视 马甲帝.....

  7. 2010-01-01 00:00 goderci 白帽子 | Rank:522 漏洞数:47)

    ...

  8. 2010-01-01 00:00 dyun 白帽子 | Rank:75 漏洞数:11)

    @心伤的胖子 我也当胖子...拉风的胖子

  9. 2010-01-01 00:00 心伤的胖子 白帽子 | Rank:347 漏洞数:30)

    回楼上各位,我信!

  10. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    @心伤的胖子 你可以跟他赌上不了10啊,之前wb有木有都给你

  11. 2010-01-01 00:00 D&G 白帽子 | Rank:404 漏洞数:49)

    这个 得跟上啊

  12. 2010-01-01 00:00 p.z 白帽子 | Rank:327 漏洞数:40)

    我坦白了吧,楼上除了百度,全是我马甲

  13. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    不抢马甲,因为我有板凳。。

  14. 2010-01-01 00:00 Finger 白帽子 | Rank:748 漏洞数:95)

    绝对马甲 有几个没马甲的?

  15. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    心伤的瘦子...下次会不会是心伤的矮子....

  16. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @horseluke 你刺激人啊????

  17. 2010-01-01 00:00 Finger 白帽子 | Rank:748 漏洞数:95)

    @下回俺再弄个心伤的妹子

  18. 2010-01-01 00:00 Finger 白帽子 | Rank:748 漏洞数:95)

    @horseluke 下回俺再弄个心伤的妹子

  19. 2010-01-01 00:00 偶尔透透气 白帽子 | Rank:6 漏洞数:1)

    @心伤的胖子 @心伤的瘦子 尼玛 这世界 到底是肿了么?

  20. 2010-01-01 00:00 冉冉升起 白帽子 | Rank:10 漏洞数:2)

    好牛逼,跟你混了!

  21. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    我就木有马甲。。

  22. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    @心伤的瘦子 瘦子有除了二哥那个以外的ie8的exp么,反射型的主要不通用是个问题啊

  23. 2010-01-01 00:00 心伤的瘦子 白帽子 | Rank:147 漏洞数:21)

    @小胖胖要减肥 暂时没有发现

  24. 2010-01-01 00:00 0x00de 白帽子 | Rank:8 漏洞数:6)

    快公开了

  25. 2010-01-01 00:00 O.o 白帽子 | Rank:105 漏洞数:12)

    快了~~~

  26. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @心伤的瘦子 老湿呀,终于看到你的作品了~

  27. 2010-01-01 00:00 whitepig 白帽子 | Rank:0 漏洞数:1)

    可怜我是实习帽子~

  28. 2010-01-01 00:00 李白 白帽子 | Rank:128 漏洞数:19)

    啥时候能到实习帽子啊~

  29. 2010-01-01 00:00 cnrstar 白帽子 Rank:136 漏洞数:18)

    提醒:级别足够但是无法查看 Rank 高于自己的白帽子漏洞 可以等待进一步公开或者支付 3 个乌云币提前查看

  30. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    @cnrstar = = 骚年。。努力赚点RANK吧

  31. 2010-01-01 00:00 cnrstar 白帽子 | Rank:136 漏洞数:18)

    @gainover 我也发现了,太被动了,好久没提交过漏洞了

  32. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    @gainover 。。。和瘦子还差50rank。。。

  33. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    开始逐渐公开了!

  34. 2010-01-01 00:00 猫头鹰 白帽子 | Rank:27 漏洞数:5)

    @百度百度!!!!!!!!!!!!!!!!!!!!!!!!!!

  35. 2010-01-01 00:00 mole3o 白帽子 | Rank:10 漏洞数:2)

    学习了。

  36. 2010-01-01 00:00 Apxar 白帽子 | Rank:0 漏洞数:0)

    感谢~楼主跟xx有深仇大恨?

  37. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    我们拿出的是一个什么都没过滤(其实还是有些转义的,主要没过滤< , >)的例子 这里啥有转义?

  38. 2010-01-01 00:00 大风对我说 白帽子 | Rank:0 漏洞数:0)

    @px1624 大神求指导

  39. 2010-01-01 00:00 sangfor.org 白帽子 | Rank:0 漏洞数:0)

    学习了 感谢

  40. 2010-01-01 00:00 宝宝爱玩笑j0ky1n 白帽子 | Rank:0 漏洞数:0)

    受~~~教

  41. 2010-01-01 00:00 洛熠宸 白帽子 | Rank:0 漏洞数:0)

    http://xss.pkav.net/xss/ext/1.php?umod=commentsoutlet&act=count&siteid=3&libid=9&dataid=1480&score=<script>alert(123)</script>&func=haoping&_=1353475261886
    为什么输入数字可以弹窗,而输其他字符就得加引号才可以弹窗?

  42. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    @洛熠宸 。。。能不问这么弱智的问题么

  43. 2010-01-01 00:00 洛熠宸 白帽子 | Rank:0 漏洞数:0)

    @px1624 百度不知道该怎么搜 /委屈。。。没基础。。好奇。。

  44. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    @洛熠宸 http://www.w3school.com.cn/js/

  45. 2010-01-01 00:00 洛熠宸 白帽子 | Rank:0 漏洞数:0)

    @gainover 谢大神培养小弟