通达OA微讯功能持久性XSS漏洞

### 简要描述： 通达oa的微讯功能，可以时时发送信息给在线的用户(不在线的用户当登录时即可收到)，信息中可以插入脚本代码，当发送信息给指定的用户时，对方会立刻接收到信息，可能造成cookie被盗，以及执行某些操作，如自动发布分享，添加日志，删除日志等操作。 ### 详细说明： 测试的版本是office anywhere 2011 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201306/081147388733c7db4dba4033d78a742529f25a74.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/081147388733c7db4dba4033d78a742529f25a74.jpg) [<img src="https://images.seebug.org/upload/201306/0811480323f4347a0b57c9b089887c1bc4ef5cbb.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/0811480323f4347a0b57c9b089887c1bc4ef5cbb.jpg) 微讯发送后的效果，发现并没有弹出对画框。 通过burp suite看是某些符号在输入的时候被转译了 [<img src="https://images.seebug.org/upload/201306/08114836c405527f561b7b49108719c0df990614.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/08114836c405527f561b7b49108719c0df990614.jpg) 尝试把被转译后的符号修改回来后再次发送 [<img src="https://images.seebug.org/upload/201306/08114859033a2e1e945ceb6e08b590c6d5b72282.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/08114859033a2e1e945ceb6e08b590c6d5b72282.jpg) 修改数据包后再次发送的效果图如下： [<img src="https://images.seebug.org/upload/201306/0811492519fc2522c2ad443fbeab81cbe1232ba5.jpg" alt="5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/0811492519fc2522c2ad443fbeab81cbe1232ba5.jpg) 发送盗取cookie的js脚本如下： [<img src="https://images.seebug.org/upload/201306/081150166261d69f0566f0331afceada09659bd5.jpg" alt="6.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/081150166261d69f0566f0331afceada09659bd5.jpg) 成功盗取某个在线用户的cookie [<img src="https://images.seebug.org/upload/201306/081150395313df367679e83b127ea788da8ec4e1.jpg" alt="7.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/081150395313df367679e83b127ea788da8ec4e1.jpg)