佳音事業股份有限公司線上評量系統XSS漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2018-00951
  •  發信 Vendor: 佳音事業股份有限公司
  • Title: 佳音事業股份有限公司線上評量系統XSS漏洞
  • Introduction: 未過濾請求字串直接輸出造成的XSS
  • 感謝函

處理狀態

目前狀態

公開
Last Update : 2018/07/23
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2018/07/07 08:22:33:新提交 (由 DW-hackgroupTeam 修改)
  • 2018/07/07 08:37:47:新提交 (由 DW-hackgroupTeam 修改)
  • 2018/07/07 08:44:15:新提交 (由 DW-hackgroupTeam 修改)
  • 2018/07/08 00:58:03:審核完成 (由 HITCON ZeroDay 服務團隊 修改)
  • 2018/07/09 00:16:53:審核完成 (由 HITCON ZeroDay 服務團隊 修改)
  • 2018/07/09 00:16:53:通報未回應 (由 HITCON ZeroDay 服務團隊 修改)
  • 2018/07/09 09:20:13:修補中 (由 企業 修改)
  • 2018/07/12 09:00:10:已修補 (由 企業 修改)
  • 2018/07/19 14:29:56:複測申請中 (由 企業 修改)
  • 2018/07/19 23:14:57:確認已修補 (由 DW-hackgroupTeam 修改)
  • 2018/07/23 03:00:14:公開 (由 HITCON ZeroDay 服務團隊 修改)

詳細資料

  • ZDID:ZD-2018-00951
  • 通報者:mrmad2017 (DW-hackgroupTeam)
  • 風險:中
  • 類型:基於 DOM 的 XSS (DOM-based Cross-Site Scripting)

參考資料

攻擊者可經由該漏洞竊取使用者身份,或進行掛碼、轉址等攻擊行為。

漏洞說明: OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

防護原則:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

XSS 防禦繞過方式:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

最新訊息(網址1):
http://testcloud.joy.com.tw/index.php?option=list_news&page=1
分析報告(網址2):
http://testcloud.joy.com.tw/index.php?option=list_exam_score&sel_year=2018&sel_month=7&sel_exam_type=ALL&page=1
線上評量(網址3):
http://testcloud.joy.com.tw/index.php?option=list_exam_level&system_type=BM

敘述

這個線上評量網站為
國內知名的英文補習班所有
若引發大規模XSS後果可不堪設想

[網址1,網址2]
因為這個線上評量網站沒有過濾
page的值就直接輸出在頁面上面
造成了XSS
如果page直接接字串會造成PHP錯誤
而如果加上兩個空格
就可以直接輸出HTML了
[網址3]
因為網站是在JS中提取 GET參數>system_type 
若我們加上一個結束標籤給前一個
Script標籤,再增加一個Script標籤
Script標籤就可以執行了
如下:
system_type=
</script><script>alert('xss')</script>
這樣其實alert('xss')也會被執行

實測後結果發現沒有任何標籤會被過濾
甚至encode
造成使用者資料的危害
附圖:
page=1 [正常輸出]
輸出 Page 1 of 1
圖片

page=e [造成php錯誤]
輸出
Fatal error: Cannot use string offset as an array in ……
圖片

page=5%20%20<script>alert(1)</script>
輸出> script直接執行
圖片

修補建議

在接受參數並輸出的部分要
增加過濾把不正當的字元濾掉

擷圖

留言討論

聯絡企業

 發送私人訊息
您也可以透過私人訊息的方式與企業聯繫,討論有關於這個漏洞的相關資訊。