漏洞概要 关注数(30) 关注此漏洞
缺陷编号: WooYun-2016-178822
漏洞标题: 中国移动139邮箱存在高危储存型XSS漏洞
相关厂商: 中国移动
漏洞作者: px1624
提交时间: 2016-02-26 15:13
公开时间: 2016-04-15 18:28
漏洞类型: XSS跨站脚本攻击
危害等级: 高
自评Rank: 20
漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 存储型xss 139邮箱
漏洞详情
披露状态:
2016-02-26: 细节已通知厂商并且等待厂商处理中
2016-03-01: 厂商已经确认,细节仅向厂商公开
2016-03-11: 细节向核心白帽子及相关领域专家公开
2016-03-21: 细节向普通白帽子公开
2016-03-31: 细节向实习白帽子公开
2016-04-15: 细节向公众公开
简要描述:
自动触发,通杀WEB浏览器/手机浏览器/手机APP客户端。存了2年了,还没被发现,呵呵~
详细说明:
漏洞代码写入位置,正文富文本区域。
利用代码详见测试代码区域。
漏洞证明:
一、WEB浏览器:
成功写入js文件。
可以截获盗取cookie等信息,查看邮件就自动触发了,通杀浏览器。
二、手机浏览器:
因为139邮箱的邮件,相信大部分人都不会专门去登录web用电脑看吧,更多的还是会用手机,因为邮件会短信推送的,如下。
有新邮件的时候,会收到一个短信,然后点里面的url链接去看,就直接进入这封邮件了。
然后就中招了,cookie被盗,对比web的话,发现还不是一个域名下额。
是不是觉得手机上比web上更容易中招了!??除了盗取cookie,这里做个虚假页面去钓鱼密码,成功率应该也是相当高的,因为可以利用xss漏洞,然后iframe之类的标签嵌套,这样查看浏览器的地址栏还会是**.**.**.**的官方的域名。
三、手机app客户端:
现在很多人也喜欢用客户端,可以看到就腾讯应用宝上,下载此app的人就有1610万!
收到新邮件的时候,app会进行消息推送,提示“有新邮件了”,然后点击下消息,也就直接进入邮件里了,也就直接中招了。
cookie和手机浏览器的基本上一样,这里就不重复截图了。
而且app是看不到地址栏的,这样用来钓鱼的话会更加的隐蔽不被察觉。
修复方案:
对缺陷位置过滤逻辑进行更改。
这危害还是相当的大的,之前做过一个小范围的测试,就是根据自己的手机号,改变后4位数字,去遍历了2000个手机号去发了1封XSS邮件,半天时间就收到了200多个不同手机号的cookie和钓鱼到的帐号密码的信息。按照这个比率来看,中招率是1/10左右,不过要注意我是遍历手机号的,肯定会存在手机号不存在或者停机欠费之类的情况额,所以说中招率是远远大于1/10的!未读消息强迫症的人中招率目测是100%~~
版权声明:转载请注明来源 px1624@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2016-03-01 18:28
厂商回复:
CNVD未复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评价
-
@Finger WooYun: QQ邮箱Android客户端存在存储型跨站脚本攻击漏洞 这不是也是云端么
6# 回复此人
评论