[Ph4nt0m] Re: QQ Mail跨站脚本漏洞

Mon, 07 Jul 2008 22:05:25 -0700 

诡异的事情又发生鸟~

 - -


[EMAIL PROTECTED] <[EMAIL PROTECTED]> 写道:
>
>  怎么163也是这样,我一打开就弹了。
>
>
>
>
> [EMAIL PROTECTED] 写道:
> >漏洞说明:QQ Mail是Tencent公司提供的webmail服务,你可以使用你的QQ帐户来登陆使用Mail服务,具体的信息可以访问
> >http://mail.qq.com/。 <http://mail.qq.com/%E3%80%82>但是80sec团队成员在QQ 
> >Mail里发现存在跨站脚本漏洞,恶意用户可以通过该漏洞在邮件里伪造登陆表
> >单窃取目标用户的密码以及偷取Cookie以取得其他用户的身份,或者使用ajax等技术读取用户的敏感信息。
> >
> >漏洞成因:QQ Mail的Javascript Dom部分在处理邮件内容,对邮件内容字符串的处理分为str和code两个流程,通过组合的标签内
> >容可以误导Javascript处理图片内容和文字链接进入str流程,将HTML编码字符串还原为HTML标签。
> >
> >漏洞测试:(已经修复)
> >
> >发送如下内容即可引发XSS
> >
> >
> ><img src="http://src="; onerror="alert(x111)">
>
> >
> >漏洞解析:
> >
> >QQ Mail会自动解析邮件内容,发现匹配的链接将转换成HTML内容,由LinkMaker函数实现:
> >
> >
> >function LinkMaker( str ) {
> >return str.replace( /(https?:\/\/[\w.]+[^ \f\n\r\t\v\"\\\<\>\[\]\u2100-
> >\uFFFF]*)|([EMAIL PROTECTED])/ig, function( s, v1,
> >v2 ) {
> >if ( v2 )
> >return [ '', v2, ' <',%20v2,%20'>' ].join( "" );
> >else
> >return [ '', s, ' 
> ><http://tg1a117.mail.163.com/a/f/js3/0805191246/',%20s,%20'>' ].join( "" );
> >} );
> >
> >SwapImg函数处理邮件中IMG标签:
> >
> >
> >function SwapImg(id, ajustValue)
> >{
> >var as = GelTags("img", S(id));
> >for (var i = 0; i < as.length; i++)
> >{
> >if (as[i].src)
> >{
> >ZoomImgToBody(as[i], ajustValue);
> >as[i].onload = function()
> >{
> >ZoomImgToBody(this, ajustValue, true);
> >};
> >}
> >}
> >}
> >
> >进入str流程将会使用DOM中的innerText和textContent处理字符串,邮件中的HTML编码字符串转成HTML标签(<将转
> >换成"<",>将转换成">"),如下的测试:
> >
> >
> >
>
> ><img src="" onerror="alert(1);">
>
> >
> >
> >漏洞状态:
> >
> >80sec于7.4号发现此漏洞
> >80sec于7.4号通知官方
> >Tencent于7.4号修复此漏洞
> >80sec于7.7号发布此漏洞公告
> >
> >漏洞解决:
> >
> >QQ Mail已经修补漏洞,转义字符串中的"<" ,">".
> >
> >修改js在http://res.mail.qq.com/zh_CN/htmledition20080626/js/all.js
> >
> >
> >var str = obj.nodeValue.replace(//g,">"); //
> >1993行
> >
> >建议程序员使用DOM中的元素的时候要注意安全问题,这些元素还是由用户输入中带来的,使用之前还是需要过滤。
> >
> >感谢幻影dummy和luoluo提供和调试该漏洞。
> >
> >
> >>
>
>
>
> ------------------------------
> 渊波阔宅 湖景人生 >
> <http://popme.163.com/link/003984_0707_2982.html>
>

--~--~---------~--~----~------------~-------~--~----~
 要向邮件组发送邮件,请发到 [email protected]
 要退订此邮件,请发邮件至 [EMAIL PROTECTED]
-~----------~----~----~----~------~----~------~--~---

回复