xss.tw存储型xss跨站攻击漏洞

披露状态:

2013-01-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-01-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:
xss.tw 存储型xss一枚,偷cookie,
安全做得不错呀,
本想偷别人的劳动成果的 结果失败了。

详细说明:
cookie偷到了
登录的时候有验证用户环境,应该user-agent 和ip 一起验证的。还没伪造php试。
只能算个 存储跨站攻击脚本了。

用户可以在xss代码后附加代码,由于页面Content-Type:text/html 所以任意代码都行,

xss.tw存储型xss跨站攻击漏洞

然后想个办法让这些用户来访问这个页面,
于是乎,分析xss代码可知 ?keepsession=&location= 来接收参数的。
那么我就伪造点数据进去

写了个脚本 1-169所有的用户都发送一条记录

xss.tw存储型xss跨站攻击漏洞

很多人看了自己突然冒出了这么条信息, 应该都会打开 那个 我想要的就是这个效果。

xss.tw存储型xss跨站攻击漏洞

只要一打开就被xss了,

截获的cookie信息

xss.tw存储型xss跨站攻击漏洞

然后尝试登录 改了user-agent 和 seesionid

xss.tw存储型xss跨站攻击漏洞

又经过测试 发现若同1ip下就不会出现该问题,应该是user-agent 和ip一起来判断用户环境的。

漏洞证明:
蛮多人的..

xss.tw存储型xss跨站攻击漏洞

修复方案:
像这种特殊文件,你想让它作为js去执行 输出个头吧
Content-Type:application/x-javascript
这样就不会有这样的问题了。。