tipask 敏感位置XSS #3 | wooyun-2014-064744

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2014-064744

漏洞标题：

tipask 敏感位置XSS #3

漏洞详情

披露状态：

2014-06-13：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-09-11：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

RT。

详细说明：

只在前端用编辑器自带的过滤了，后端没过滤。
tipask是个提问的网站，提问功能应该是最重要的吧，敏感位置应该没说错。
提问时抓包，将xss代码写进去即可。后端完全没过滤，全局只有一个sql注入过滤：

function checkattack($reqarr, $reqtype = 'post') {
    $filtertable = array(
        'get' => '\'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)',
        'post' => '\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)',
        'cookie' => '\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)'
    );
    foreach ($reqarr as $reqkey => $reqvalue) {
        if (preg_match("/" . $filtertable[$reqtype] . "/is", $reqvalue) == 1 && !in_array($reqkey, array('content'))) {
            print('Illegal operation!');
            exit(-1);
        }
    }
}

对xss无影响。

漏洞证明：

抓包放入：

访问即触发：

修复方案：

对富文本进行过滤。

版权声明：转载请注明来源 phith0n@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要 关注数(24) 关注此漏洞