Turbomail邮件系统一处存储型xss

2015-07-04T00:00:00
ID SSV:95651
Type seebug
Reporter Root
Modified 2015-07-04T00:00:00

Description

简要描述:

Turbomail邮件系统存在几处xss存储型漏洞。

详细说明:

Turbomail邮件系统存在几处xss漏洞,可以利用此漏洞获取客户邮箱cookie。 漏洞一:简单绕过附件名称过滤,实现xss,打开信件就触发。 测试代码: 构造图片附件,命名he<front><image src="x<front>"onerror=alert(document.domain).jpg发送信件,打开中,为了证明普遍性,特在几个不同版本邮箱中测试截图如下:

<img src="https://images.seebug.org/upload/201507/02133010e9ee415a3c368c4816d24e644dfc7e02.png" alt="turbo11111QQ图片20150702115438.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201507/02133046d3fe7605ab79b1457e0d8bc1664a4e9f.png" alt="turbo22222QQ图片20150702115610.png" width="600" onerror="javascript:errimg(this);">

某个版本需要转发信件时才能触发:

<img src="https://images.seebug.org/upload/201507/02133201246ea04fa19b502591662833905255e0.png" alt="turbo3333QQ图片20150702115719.png" width="600" onerror="javascript:errimg(this);">

漏洞二:某些版本在发件人昵称处存在xss漏洞,打开信鼠标经过发件人区域时触发,此时发件人区域颜色变黄:

<img src="https://images.seebug.org/upload/201507/02133605a97239cecc696b66c8c3180135510bec.png" alt="tour4444QQ图片20150702133130.png" width="600" onerror="javascript:errimg(this);">

漏洞三:信件正文区域,测试代码来自mramydnei分享的http://.../content/14034 <svg><animateTransform attributeName=transform onbegin=alert(2)>,在低版本直接打开信触发,在高版本在信件回复的时候触发截图:直接触发

<img src="https://images.seebug.org/upload/201507/0213445421c90d4ad37c4712bc2fb7cc680be3ec.png" alt="turbo6666QQ图片20150702134216.png" width="600" onerror="javascript:errimg(this);">

回复触发:

<img src="https://images.seebug.org/upload/201507/02134522ead6b71c42b2a594b813142e57fdac09.png" alt="turb5555QQ图片20150702134127.png" width="600" onerror="javascript:errimg(this);">

漏洞证明:

Turbomail邮件系统存在几处xss漏洞,可以利用此漏洞获取客户邮箱cookie。 漏洞一:简单绕过附件名称过滤,实现xss,打开信件就触发。 测试代码: 构造图片附件,命名he<front><image src="x<front>"onerror=alert(document.domain).jpg发送信件,打开中,为了证明普遍性,特在几个不同版本邮箱中测试截图如下:

<img src="https://images.seebug.org/upload/201507/02133010e9ee415a3c368c4816d24e644dfc7e02.png" alt="turbo11111QQ图片20150702115438.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201507/02133046d3fe7605ab79b1457e0d8bc1664a4e9f.png" alt="turbo22222QQ图片20150702115610.png" width="600" onerror="javascript:errimg(this);">

某个版本需要转发信件时才能触发:

<img src="https://images.seebug.org/upload/201507/02133201246ea04fa19b502591662833905255e0.png" alt="turbo3333QQ图片20150702115719.png" width="600" onerror="javascript:errimg(this);">

漏洞二:某些版本在发件人昵称处存在xss漏洞,打开信鼠标经过发件人区域时触发,此时发件人区域颜色变黄:

<img src="https://images.seebug.org/upload/201507/02133605a97239cecc696b66c8c3180135510bec.png" alt="tour4444QQ图片20150702133130.png" width="600" onerror="javascript:errimg(this);">

漏洞三:信件正文区域,测试代码来自mramydnei分享的http://.../content/14034 <svg><animateTransform attributeName=transform onbegin=alert(2)>,在低版本直接打开信触发,在高版本在信件回复的时候触发截图:直接触发

<img src="https://images.seebug.org/upload/201507/0213445421c90d4ad37c4712bc2fb7cc680be3ec.png" alt="turbo6666QQ图片20150702134216.png" width="600" onerror="javascript:errimg(this);">

回复触发:

<img src="https://images.seebug.org/upload/201507/02134522ead6b71c42b2a594b813142e57fdac09.png" alt="turb5555QQ图片20150702134127.png" width="600" onerror="javascript:errimg(this);">