QQ空间+朋友网日志功能存储型XSS及修复 - 网站安

此漏洞影响腾讯2大主要的社区日志功能，QQ空间和朋友网的前端和后端是一套逻辑，就不分开提交了。漏洞相关信息日后会同步至pkav.net。缺陷文件： http://cnc.qzs.qq.com/qzone/newblog/v5/script/common.js http://qzs.pengyou.com/qzone/newblog/v5/script/common.js

缺陷代码：

QZBlog.Logic.initMusicPlayer = function() { var arr = document.getElementsByName("musicFlash**"); if (arr.length > 0) { var musicParams = []; for (var index = 0; index < arr.length; ++index) { var ubb = arr[index].getAttribute('ubb'); if ( !! ubb) { musicParams.push(ubb); if (!QZFL.userAgent.ie) { var is_multi = ubb.split("|").length > 7; var width = arr[index].width; var height = arr[index].height; var _div_height = is_multi ? 200: 120; var _div_width = is_multi ? 386: 360; var src = 'http://' + IMGCACHE_DOMAIN + '/music/musicbox_v2_1/img/MusicFlash.swf'; var span = document.createElement('span'); span.style.cssText = 'display:inline-block; height:' + _div_height + 'px;width:' + _div_width + 'px; overflow:hidden; vertical-align:baseline'; var parent = arr[index].parentNode; parent.replaceChild(span, arr[index]); span.innerHTML = '<object type="application/x-shockwave-flash" data="' + src + '" width="' + width + '" height="' + height + '" name="musicFlash' + (musicParams.length - 1) + '" id="musicFlash' + (musicParams.length - 1) + '" align="middle" ubb="' + ubb + '">' + '<param name="movie" value="' + src + '" />' + '<param name="quality" value="high" />' + '<param name="bgcolor" value="#ffffff" />' + '<param name="play" value="true" />' + '<param name="loop" value="true" />' + '<param name="wmode" value="transparent" />' + '<param name="scale" value="showall" />' + '<param name="menu" value="true" />' + '<param name="salign" value="" />' + '<param name="allowScriptAccess" value="always" />' + '</object></span>'; index--; } else { arr[index].id = "musicFlash" + (musicParams.length - 1); if (QZFL.userAgent.ie < 9) { arr[index].name = "musicFlash" + (musicParams.length - 1); } } } } if (musicParams.length > 0) { var jsLoader = new QZONE.jsLoader(); jsLoader.onload = function() { initMusicData.apply(null, musicParams); }; jsLoader.load("/music/musicbox_v2_1/js/musicblog_player.js", document, "GB2312"); } } };

1. 首先看看上面这个代码。

2. 它的大致流程如下：

2.1 搜索日志里所有name="musicFlash**"的元素。然后循环对每一个元素处理

2.2 拿一次循环为例，可以看到取出了name="musicFlash**"元素的 ubb 属性。

2.3 而后，在span.innerHTML这段代码中， ubb="' + ubb + '" 这个地方直接加了进去。

2.4 因此这里没有做过滤，会造成XSS。

3. 那么利用代码怎么写呢？

因为日志功能是富文本，不可能屏蔽掉所有的HTML标签。div 标记一般是允许的。那么我们利用div来编写利用代码。

<div name="musicFlash**" ubb="">&lt/object><img src="1" onerror="alert(document.cookie);"><i a="">xxxxxxxxx</div>

嗯，上面就是利用代码了，很简单吧，发日志的时候，选择使用HTML方式，发送即可。

其它用户访问日志后，效果如下：

打开调试工具，可以看到被inject进去的代码

4. 当然，还没完。。。因为上面这个代码缺陷，仅限于非IE浏览器，为什么呢？

主要是这句：如下图： www.2cto.com

5. 我们的目标是：[没有蛀牙]，只有chrome下可以，有点鸡肋了。

6. 其实这里还存在一个问题。最初测试时，发现腾讯并没有过滤掉object标签，只是对object调用的swf文件的域进行了限制。也就是说，发送一下HTML，是不会被过滤掉的

只要 movie的value是 http://qzs.qq.com域名下即可

7. 更重要的是，这里的allowscriptaccess是等于always的。

8. 那么我们只要找到一个 http://qzs.qq.com 域名下，具有缺陷的FLASH XSS即可。

9. google , site:qzs.qq.com filetype:swf ，找到下面这个。

http://qzs.qq.com/qzone/mall/app/vip_reward/201110/swf/play.swf?flashInit=function(){alert(document.cookie)}

10. 接着我们在发布日志时，发布以下利用代码即可。

11. 看吧，这次IE也会弹啦。

修复方案： 1. 修复 QZBlog.Logic.initMusicPlayer 中的缺陷，取出ubb属性后，进行二次过滤，再输出到innerHTML。

2. 这个object的always，你们自己看着修复。本身object标签就是很危险的，感觉不应该直接输出到页面。

3. 修复 http://qzs.qq.com/qzone/mall/app/vip_reward/201110/swf/play.swf?flashInit=function(){alert(document.cookie)}

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did14666

更新时间：2022-09-13 阅读：43次