【原创】腾讯微博的XSS攻击漏洞

标签: 原创 腾讯微博 xss | 发表时间:2011-08-20 17:44 | 作者:Kingthy sec314
出处:http://www.cnblogs.com/

相信大家都知道新浪微博在6月28日发生的XSS攻击事件了吧?在那晚里,大量新浪微博用户自动发送微博信息和自动关注一名叫“hellosamy“的用户。

究竟XSS攻击为什么能有这么大的威力?现在很多网站都采用了Cookie记录访问者的登录状态,在进行某些功能操作时(比如:发微博),服务器判断用户的Cookie记录的登录状态,如果用户是登录状态的则允许操作。正常情况下这样的操作看起来是安全的,因为服务器假想那些操作都是用户自己主动提交的操作。但假如攻击者进行了恶意的渗透(页面脚本注入或会话截取),模拟了用户的操作,这样这些操作就是恶意的并且可能是带有“危险”性的!比如新浪微博里的自动发微博、自动关注等等。

 

XSS攻击分成两类

      一类是来自内部的攻击,主要指的是利用网页自身的漏洞,将恶意脚本注入到网页,当用户访问此页面时,恶意脚本也会跟着执行,这样恶意脚本就能利用到用户的所有状态数据执行恶意操作,比如发微博、私信等(新浪微博的XSS攻击就是此类)。

另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。

 

新浪微博的XSS攻击事件过去了,腾讯微博目前还没有发生此类事件,但这不表明腾讯微博是安全的:)

 

因为我这几天都在捣鼓腾讯微博的小应用开发,所以很经常去逛腾讯微博应用频道,想看看最近推荐的应用有哪些(其实是想看到自己的应用有没有被推荐出来,很可惜!没有,失望:(!),昨晚在闲逛腾讯微博的应用频道,突然好奇心突起,测试了一下,竟然被我发现一个XSS注入点!

腾讯微博的应用介绍地址基本都是这样的:

http://app.t.qq.com/app/intro/xxxxxxxxx

比如这个不知是什么虾米的“test9“应用的介绍地址是这样的:

http://app.t.qq.com/app/intro/24042/test9/http%253A%252F%252Fappst.qq.com%252Fcgi-bin%252Fwbapps%252Fwb_appstore_app.cgi%253Fappid%253D24042

 

看到后面的“http%253A%252F%252Fappst.qq.com%252Fcgi-bin%252Fwbapps%252Fwb_appstore_app.cgi%253Fappid%253D24042”这串东西没有?很明显是一个URL地址,这个URL地址在哪里用到呢?我们打开那应用的介绍地址,然后查看一下源码,会发现这个URL地址会在一个iframe里出现,如下图:

image

 

如果我们在那URL里加点东西会怎样?试试,改这样的地址:

http://app.t.qq.com/app/intro/24042/test9/http%253A%252F%252Fappst.qq.com%252Fcgi-bin%252Fwbapps%252Fwb_appstore_app.cgi%253Fappid%253D24042%22%20onload=%22alert('Hello');

也就是将那URL改为这样的URL数据(未编码)

http://appst.qq.com/cgi-bin/wbapps/wb_appstore_app.cgi?appid=24042" onload="alert('Hello');

 

访问上面的链接,浏览器向我Say hello(如下),很好!很好!

image

源码就成了这样的:

image

 

注意:在IE9下,上面的XSS注入无效,只对IE8及以下有效,IE9里将会这样提示:

image

并且上面的代码里会自动将onload给转换掉,如下图:

image

 

虽然IE9里不能构成XSS攻击,但是现在有多少人在用IE9呢?

好了,注入点有了,后面该做什么的就做什么吧,打酱油的打酱油,泡妞的泡妞吧。具体如何打酱油、泡妞,我就不再教你们了,嘿嘿,我没有你们这么坏:)

 

真的想看XSS攻击效果?请猛点这里! (注:此演示需要在您已登录腾讯微博的情况下才能XSS攻击成功,如果成功,你将会自动关注我的微博http://t.qq.com/kingthy和发送一条微博信息)

 

备注说明:此漏洞在我发此日志前我已告诉腾讯官方,所以如果你看到我这篇文章后,发现上面的漏洞根本无法使用了,那就是腾讯已修复了此漏洞。如果还未修复,那只能说腾讯不重视或者还在打酱油ING……

 

声明:请勿利用此漏洞做任何非法的事!否则造成的任何后果都全由你个人承担!本人概不负责!!!!

         文章转载请注明本人博客来源地址!

作者: Kingthy 发表于 2011-08-20 17:44 原文链接

评论: 21 查看评论 发表评论


最新新闻:
· 云平台服务商一览(2011-08-20 21:37)
· 为什么Groupon依然还有看点?(2011-08-20 20:01)
· iOS 5将禁止开发者访问独立设备ID(2011-08-20 19:51)
· PC 时代即将落幕(2011-08-20 18:04)
· 小米帝国的第一枪(2011-08-20 18:01)

编辑推荐:Steven Levy:“Google 特立独行”

网站导航:博客园首页  我的园子  新闻  闪存  小组  博问  知识库

相关 [原创 腾讯微博 xss] 推荐:

【原创】腾讯微博的XSS攻击漏洞

- sec314 - 博客园-首页原创精华区
相信大家都知道新浪微博在6月28日发生的XSS攻击事件了吧. 在那晚里,大量新浪微博用户自动发送微博信息和自动关注一名叫“hellosamy“的用户. 究竟XSS攻击为什么能有这么大的威力. 现在很多网站都采用了Cookie记录访问者的登录状态,在进行某些功能操作时(比如:发微博),服务器判断用户的Cookie记录的登录状态,如果用户是登录状态的则允许操作.

深掘XSS漏洞场景之XSS Rootkit

- jyf1987 - 80sec
深掘XSS漏洞场景之XSS Rootkit[完整修订版]. 众所周知XSS漏洞的风险定义一直比较模糊,XSS漏洞属于高危漏洞还是低风险漏洞一直以来都有所争议. XSS漏洞类型主要分为持久型和非持久型两种:. 非持久型XSS漏洞一般存在于URL参数中,需要访问黑客构造好的特定URL才能触发漏洞. 持久型XSS漏洞一般存在于富文本等交互功能,如发帖留言等,黑客使用的XSS内容经正常功能进入数据库持久保存.

XSS 探索 - big-brother

- - 博客园_首页
正常的页面被渗出了攻击者的js脚本,这些脚本可以非法地获取用户信息,然后将信息发送到attacked的服务端. XSS是需要充分利用输出环境来构造攻击脚本的. 非法获取用户cookie、ip等内容. 劫持浏览器,形成DDOS攻击. Reflected XSS:可以理解为参数型XSS攻击,攻击的切入点是url后面的参数.

前端xss攻击

- - SegmentFault 最新的文章
实习的时候在项目中有接触过关于xss攻击的内容,并且使用了项目组中推荐的一些常用的防xss攻击的方法对项目进行了防攻击的完善. 但一直没有时间深入了解这东西,在此,做一个简单的梳理. xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入的恶意html代码会被执行,从而达到恶意用户的特殊目的.

腾讯微博推出英文版

- xcv58 - 36氪
刚刚同事登陆腾讯微博的时候,由于使用的是英文浏览器,腾讯微博自动切换到了英文版显示. 使用中文浏览器的,默认仍然显示中文版微博. 不过如果你想切换到英文版,可以在底部找到切换按钮. 英文版的腾讯微博和中文版的相差不大,基本上是对应转译了一下. 当然英文版的少了微群,应用和手机3个版块. 因为这里面涉及到开发者,移动运营商等各种问题,腾讯不可能很快部署上来.

百度知道XSS漏洞

- - 博客园_首页
事情的起因是我一同学在百度知道上看到一个很奇怪的,正文带有连接的提问( 这里),正常来说,这种情况是不可能出现的. 我条件反射的想到了:XSS漏洞. 通过查看源代码,我马上发现了问题的根源:未结束的标签.
帮我写一个能提取

pentesterlab xss漏洞分析

- - JavaScript - Web前端 - ITeye博客
pentesterlab简介. pentesterlab官方定义自己是一个简单又十分有效学习渗透测试的演练平台. pentesterlab环境搭建. 官方提供了一个基于debian6的镜像,官网下载镜像,使用vmware建立一个虚拟机,启动即可. ps:官方文档建议做一个host绑定,方便后面使用.

XSS攻击及防御

- - BlogJava-qileilove
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性. 其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的.

XSS攻击技术详解

- - BlogJava-qileilove
  XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆. web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中. 比如这些代码包括HTML代码和客户端脚本. 攻击者利用XSS漏洞旁路掉访问控制--例如同源策略(same origin policy).

XSS攻击及防御

- - 互联网 - ITeye博客
       本文来自: 高爽|Coder,原文地址: http://blog.csdn.net/ghsau/article/details/17027893,转载请注明.         XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.