V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
DennyDai
V2EX  ›  问与答

[Qzone XSS?]hhotel.com.cn 是如何强制转发自己的内容到用户的 QQ 空间的?

  •  
  •   DennyDai · 2015-07-13 07:02:39 +08:00 · 2199 次点击
    这是一个创建于 3448 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天碰到了类似空间xss的情况,但是分析不出来。
    搜索了一下发现知乎上也有人发生相关问题。。。
    描述比较详细我就不描述了,贴链接。。。
    求分析

    http://www.zhihu.com/question/31845257


    v2好像也有人发过= = /t/202936
    ------------------------------------------
    1. 首先HTTP GET了一下那条状态的链接(http://http://milpmazy.hhotel.com.cn/blog/3351382536.html?vid=19&media=new&r=0.6491327),得到302 Moved Temporarily(跳转链接为http://http://www.hhotel.com.cn/videos/play.php?vid=19&media=new&r=0.6491327)
    2. 继续HTTP GET了一下跳转到的链接,并且研读了一下代码,发现网页的代码比较简单,并未发现什么恶意代码。
    3. 鉴于上面的结果,猜测可能是网站的恶意代码有触发条件,并不是任何时候都会有恶意代码。我能想到的最简单的触发条件是,服务器端检查浏览器的User-Agent来决定是否返回带有恶意代码的网页,于是使用手机QQ的UA继续HTTP GET,并没发现得到的内容跟上次有什么区别。
    4. 鉴于上面尝试的又一次失败,我开始了对其恶意代码触发条件的研究。结果再次碰壁:由于刚开始点击的那个朋友的那条状态已经删除,我就点击了另一个朋友转发的hhotel的状态,结果发现这一次,我的朋友圈没有被发送垃圾状态。推测结果是,服务器端有针对ip的过滤,只对第一次访问的ip返回恶意代码,或者网站正在调整,恶意代码暂时隐藏。
    10 条回复    2017-01-17 16:21:33 +08:00
    virusdefender
        1
    virusdefender  
       2015-07-13 07:21:20 +08:00
    可能是csrf,但是试了几次都没办法复现。在tsrc的群里帮问了下。
    virusdefender
        2
    virusdefender  
       2015-07-13 07:30:17 +08:00
    已经复现 使用手机qq浏览器
    DennyDai
        3
    DennyDai  
    OP
       2015-07-13 07:36:36 +08:00
    @virusdefender 求细节?
    broncotc
        4
    broncotc  
       2015-07-13 07:56:42 +08:00 via Android
    @DennyDai 意思就是用手机qq browser的UA吧
    DennyDai
        5
    DennyDai  
    OP
       2015-07-13 08:04:55 +08:00
    @broncotc 然而手机qq客户端的空间都不能触发,以前就是这么触发的。。估计还有其他判断条件
    virusdefender
        6
    virusdefender  
       2015-07-13 08:07:35 +08:00 via Android
    我已经找到漏洞所在,向tsrc报告了。感谢楼主~
    virusdefender
        7
    virusdefender  
       2015-07-13 08:08:29 +08:00 via Android
    @DennyDai 等待修复后公开细节
    virusdefender
        8
    virusdefender  
       2015-07-15 17:43:18 +08:00
    Famio
        9
    Famio  
       2017-01-17 13:41:00 +08:00
    @virusdefender 是否可转载报告文章,会注明出处,感谢
    virusdefender
        10
    virusdefender  
       2017-01-17 16:21:33 +08:00
    @Famio 可以~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5354 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 07:05 · PVG 15:05 · LAX 23:05 · JFK 02:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.