live800在线沟通平台客户端存储型XSS可攻击客服

### 简要描述： 帮朋友测试项目时无意间发现的。 ### 详细说明： 我没有做过大量统计和测试，但根据我这几个月零零散散的测试我认为仍然存有大量的桌面应用，web应用和浏览器插件存有一摸一样的问题。 所以，这个XSS的输入点还是文件名。 ### 漏洞证明： 首先我们构造这样的文件名： ``` <iframe src=file&#58&#47&#47c&#58&#47WINDOWS&#47system32&#47drivers&#47etc&#47hosts onload=alert(frames[0].document.body.innerHTML)>.jpg ``` 随后通过http://x55.me/800.htm向客服发送文件，如下图： [<img src="https://images.seebug.org/upload/201409/24155853dca72f9a4a539e155b59020e27e1cde5.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/24155853dca72f9a4a539e155b59020e27e1cde5.png) 现在切换到客服的应用界面，看发生了什么？ [<img src="https://images.seebug.org/upload/201409/2416000925e9eddcb26240b2fa151ee6a644279e.png" alt="123.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/2416000925e9eddcb26240b2fa151ee6a644279e.png) 可以看到live800在线沟通平台不但正常解析了我们的iframe，我们还顺利地访问到了本地的文件内容。从这个结果来看，我们还是可以通过这个XSS来窃取一些本地文件的内容的。不过应该还是会受到文件类型（扩展名）的限制。 除此之外，还有一点需要提一下的是。一旦客户端被中下了xss后门，这段html会作为聊天记录一直被存储在下图所示的目录当中。 [<img src="https://images.seebug.org/upload/201409/2416062378fbcd8195daa96880f34db5375a4d07.png" alt="gggg.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/2416062378fbcd8195daa96880f34db5375a4d07.png) 如果需要修复这问题，建议在发布补丁的同时，检查或者清除live800在线沟通平台的的cache文件。因为这个文件名是攻击者完全可预测的。