360游戏存储型XSS+用户消息无限群发漏洞

漏洞概要

缺陷编号:WooYun-2012-011460

漏洞标题:360游戏存储型XSS+用户消息无限群发漏洞

相关厂商:奇虎360

漏洞作者:imlonghao

提交时间:2012-08-28 14:59

公开时间:2012-10-12 15:00

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-08-28: 细节已通知厂商并且等待厂商处理中
2012-08-28: 厂商已经确认,细节仅向厂商公开
2012-09-07: 细节向核心白帽子及相关领域专家公开
2012-09-17: 细节向普通白帽子公开
2012-09-27: 细节向实习白帽子公开
2012-10-12: 细节向公众公开

简要描述:

本来想Email给你们的,后来看看貌似XSS不属于RMB的奖励范围~貌似Email的奖励更加丰富,但是,礼品与Wb不可兼得,舍礼品而取Wb也!360游戏一处存储型的XSS,结合用户信息的群发漏洞,就可以扩大盗号的范围鸟~~嘿嘿..应该可以盗装备神马滴.............

详细说明:

360游戏中心V部落相册处过滤不严,导致可以XSS,详见证明。360游戏中心的信息中对一个用户的一天发送次数无限制,可以无限发钓鱼信息,只要找了一段好的ID段,日抓千cookies不是梦~~详见证明。

漏洞证明:

=========我是分割线,像么?=========)))))XSS1、上次一个相片,在保存处停下来,并截包。

2、在图片的地址处加上跨站代码,RUN

3、好吧,效果~

4、盗cookies

=========我是分割线,像么?=========)))))信息群发相册的详细页,即http://wan.360.cn/v/photolist/29414331/120828_11_55_03_23中附有跨站代码,我们只需要传播这个地址即可~为避免造成影响,我们用Hello World来代替上述地址,同理。发送短消息的数据包非常简单

很容易就可以组合成一个群发包,用$$替换to就OK。

效果如下。

额,上面我为什么要说找好的ID段,是因为ID范围不一定有注册了游戏中心的用户。不过,你也可以自己写个小工具去收集论坛中用户的ID,这样子准确率大很多~~

修复方案:

过滤参数,不允许图片地址中有别的东西。发送消息一天超过多少条就需要输入验证码~~愿意收RMb奖品...........

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-08-28 18:39

厂商回复:

感谢您的反馈,我们正在确认这个问题...

最新状态:

暂无

评价

  1. 2010-01-01 00:00 _Evil 白帽子 | Rank:376 漏洞数:52)

    Ajax 黑阔

  2. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    赞!

  3. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    @_Evil 木蠕虫了

  4. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    @xsser 坐等厂商忽略...呜呜......

  5. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @imlonghao 干嘛要忽略

  6. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    xss貌似只能换鼠标键盘和安仔、、