ThinkSAAS存储型跨站(2处)

基本字段

漏洞编号：: SSV-94323

披露/发现时间：: 2014-12-02

提交时间：: 2014-12-02

漏洞等级：

漏洞类别：: 其他类型

影响组件：: ThinkSAAS

漏洞作者：: 路人甲

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-084965

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述： ThinkSAAS过滤不严导致存储型跨站。可攻击任意用户(包括管理员) ### 详细说明： ThinkSAAS对javascript伪协议进行了过滤，但我们可以利用编码巧妙绕过，导致了以下漏洞的产生。 ### 漏洞证明： 1、涉及版本：thinksaas2.2-beta 2、由于浏览器解析不同，此漏洞的测试环境为Chrome和IE，对Firefox无效。漏洞一： 3、登录系统，在文章模块发布文章，在文章内容中添加超链接，链接路径为：ja&NewLine;vascr&NewLine;ipt&colon;alert(/xss/) [<img src="https://images.seebug.org/upload/201411/27151044694d07c3245190d6a285d20ea0332e0e.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/27151044694d07c3245190d6a285d20ea0332e0e.png) 4、拦截请求，系统会自动添加http协议，将超链接href中的http://去掉 [<img src="https://images.seebug.org/upload/201411/271511193c67758c9703e698396fde0441ffb779.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271511193c67758c9703e698396fde0441ffb779.png) 5、系统管理员或其它用户查看文章并点击链接时，漏洞触发： [<img src="https://images.seebug.org/upload/201411/2715122810feba85556ecd008e5f5d644b475cfe.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/2715122810feba85556ecd008e5f5d644b475cfe.png) 6、在Chorome环境下查看页面源代码： [<img src="https://images.seebug.org/upload/201411/271513308ae1f4eadf93bb27103ad8d7c12ea674.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271513308ae1f4eadf93bb27103ad8d7c12ea674.png) 伪协议javascript成功执行，修改脚本代码可进行针对性的攻击。为了增大触发概率，我们可以利用标签的style属性将超链接尽可能放大。漏洞二： 7、同漏洞一原理一样，不过漏洞存在于创建小组处，创建小组，并在小组介绍处添加超链接。链接路径为：ja&NewLine;vascr&NewLine;ipt&colon;alert(/xss/) [<img src="https://images.seebug.org/upload/201411/271516251cdded282045c49350ec60826f1ca4f1.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271516251cdded282045c49350ec60826f1ca4f1.png) 8、拦截请求，去掉系统在链接路径中添加的http协议 [<img src="https://images.seebug.org/upload/201411/271517216f9c3853dbefdb4a88572f73331863b5.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271517216f9c3853dbefdb4a88572f73331863b5.png) 9、系统管理员或其它用户查看小组介绍并点击超链接时，漏洞触发： [<img src="https://images.seebug.org/upload/201411/27151811c983be22a2220cff4b7c21d3d9025fb9.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/27151811c983be22a2220cff4b7c21d3d9025fb9.png) 10、在Chrome环境下查看页面源代码： [<img src="https://images.seebug.org/upload/201411/2715183791d65c1717ad35bf6fe3170423faedaa.png" alt="8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/2715183791d65c1717ad35bf6fe3170423faedaa.png)

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-084965

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

ThinkSAAS存储型跨站(2处)

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定