快乐购xss盲打,用户登陆访问权限控制不严,绕过直接登陆。
一、xss劫持任意用户一
url:3g.happigo.com/yijian.php
在商品意见反馈出,反馈内容为xss code,未作任何过滤,导致xss。
从上图看出,意见反馈处劫持到了管理后台地址,用户cookie
二、xss劫持任意用户二
url:m.happigo.com/user/myword.php
用户留言处,留言内容未过滤,导致xss。
过程同上,xss劫持任意用户一,此处不再赘述。
三、用户登陆访问权限控制不严
通过上面的xss我们劫持到用户cookie可以直接登录。
我们再来看另外一个劫持到的cookie
如图我们劫持到的用户登陆url:
http://m.happigo.com/help.php?search_key=&pno=2&uid=1286052&acckey=eQeFTlnkKzn91nqPAX15aSnOAf5xOwxf
地址中就存在uid和acckey,只要我们劫持用户的这两个登陆url参数,我们直接访问这个url就可以直接登陆此用户,而不需要劫持到用户的cookie。
再来看以个劫持到的用户,直接用acckey登陆。
上面劫持到的两个用户都是翡翠级和白金级的会员啊,里面的积分、快乐点都是多多的
四、危害分析
首先是XSS的危害:
1、在用户意见处可以直接劫持客服或者管理员的后台地址,登陆cookie信息。
2、在我要留言处可以直接劫持任意用户登陆凭证,登陆cookie。
3、这样就可以劫持任意用户
然后再看看用户登陆权限访问控制不严造成的危害:
1、不用输入用户名密码,不用登陆cookie,只要劫持到uid和acckey就可以直接登陆账户
2、像这些高级用户的账户里面积分,快乐点,优惠劵,心意卡什么的肯定都很多,就可以被用来使用,兑换东西了。
3、至于这些用户的登陆账户信息,地址信息,订单信息状态等都可以直接修改。
4、由于流量很大,就在两天时间里,劫持到了200多个用户的登陆cookie和登陆凭证。这些大量用户信息的泄露也是很大问题
五、声明
由于流量大,劫持到较多高级用户,但是没有更改任何用户信息,以及进行任何非法操作。
修复方案: 1、过滤用户输入
2、控制用户登陆验证权限。
查看更多关于快乐购xss劫持任意用户+用户登陆访问权限控制不的详细内容...