HeyMandi網頁版XSS - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2018-01160
  •  發信 Vendor: HeyMandi
  • Title: HeyMandi網頁版XSS
  • Introduction: 在網頁版當中,script未經過濾,可被執行

處理狀態

目前狀態

公開
Last Update : 2018/10/18
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2018/08/18 18:36:55 : 新提交 (由 Alpaca 更新此狀態)
  • 2018/08/18 23:47:25 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/08/20 10:12:11 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/08/20 10:12:11 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/10/18 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2018-01160
  • 通報者:zmalxnskqp8246 (Alpaca)
  • 風險:中
  • 類型:預存式跨站腳本攻擊 (Stored Cross-Site Scripting)

參考資料

攻擊者可經由該漏洞竊取使用者身份,或進行掛碼、轉址等攻擊行為。

漏洞說明: OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

防護原則:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

XSS 防禦繞過方式:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://chat.heymandi.com/chat

敘述

若聊天室內的雙方都是使用app,又或者雙方都是使用web版的話就不會有此問題,代碼被執行的問題發生在其中一方為app版(攻擊方),另一方則為網頁版(受攻擊方)的情境下(也就是此網址:https://chat.heymandi.com/chat),在此情境下app方所發送的文字內涵有的script並不會被有效過濾,因此可在另一端的web上被執行語法,滲透中測試過範例代碼"<script>alert(1)</script>"此alert代碼並不會被執行,但script標籤的確有被植入成功,因此將代碼換成了"<img src="" onerror=alert(1)>"做第二次測試,結果成功的執行出alert,另外包含"<h1>"、"<b>"等標籤也是可被執行的,以及其他未測試的語法都含有被執行的風險。

修補建議

在web端傳送至app端的符號會被轉為html編碼,可以將app端傳送至web端的符號一樣轉為html代碼。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;