easytalk存储型XSS

2014-08-21T00:00:00
ID SSV:95996
Type seebug
Reporter Root
Modified 2014-08-21T00:00:00

Description

简要描述:

easytalk对用户提交数据过滤不严导致存储型跨站,利用该漏洞,攻击者可以盗取用户cookie或者进行其它攻击。

详细说明:

1、涉及版本EasyTalk x2.5 2、EasyTalk开源微博系统对投票模块的投票说明字段设置不严谨,导致存储型FLASH跨站,由于FLASH可以执行javascript脚本,利用此漏洞,攻击者可以加载本地脚本,盗取用户cookie以及其它信息。

漏洞证明:

1、登录系统,进入工具--》投票广场--》发起投票,发起投票时,添加投票说明,在说明字段选择添加flash

<img src="https://images.seebug.org/upload/201408/21103556480c8a2540c332e8143becab763f91c9.png" alt="1.png" width="600" onerror="javascript:errimg(this);">

xss.swf中的内容为getURL("javascript:alert(document.cookie)"); 2、使用代理拦截请求,在<embed>标签中添加属性allowscriptaccess="always"

<img src="https://images.seebug.org/upload/201408/2110373734aa343661092a8289704e4da2957ce4.png" alt="2.png" width="600" onerror="javascript:errimg(this);">

3、其它用户浏览投票内容,准备投票时,漏洞触发

<img src="https://images.seebug.org/upload/201408/2110382261881d32a5a87a17029ccc2543158974.png" alt="3.png" width="600" onerror="javascript:errimg(this);">

4、使用Firebug查看页面源代码:

<img src="https://images.seebug.org/upload/201408/211041382868fb9fbb5068bcac0a84f86cf2c60a.png" alt="5.png" width="600" onerror="javascript:errimg(this);">

成功插入flash文件,且允许执行脚本代码 5、投票时,可以选择转发到微博,其它用户微博中的投票信息时,选择查看详情也会触发漏洞

<img src="https://images.seebug.org/upload/201408/21104359b6e63f331d5be37eb47597ad650f2156.png" alt="4.png" width="600" onerror="javascript:errimg(this);">