[Qzone XSS?]hhotel.com.cn 是如何强制转发自己的内容到用户的 QQ 空间的?

2015-07-13 07:02:39 +08:00
 DennyDai
今天碰到了类似空间xss的情况,但是分析不出来。
搜索了一下发现知乎上也有人发生相关问题。。。
描述比较详细我就不描述了,贴链接。。。
求分析

http://www.zhihu.com/question/31845257


v2好像也有人发过= = /t/202936
------------------------------------------
1. 首先HTTP GET了一下那条状态的链接(http://http://milpmazy.hhotel.com.cn/blog/3351382536.html?vid=19&media=new&r=0.6491327),得到302 Moved Temporarily(跳转链接为http://http://www.hhotel.com.cn/videos/play.php?vid=19&media=new&r=0.6491327)
2. 继续HTTP GET了一下跳转到的链接,并且研读了一下代码,发现网页的代码比较简单,并未发现什么恶意代码。
3. 鉴于上面的结果,猜测可能是网站的恶意代码有触发条件,并不是任何时候都会有恶意代码。我能想到的最简单的触发条件是,服务器端检查浏览器的User-Agent来决定是否返回带有恶意代码的网页,于是使用手机QQ的UA继续HTTP GET,并没发现得到的内容跟上次有什么区别。
4. 鉴于上面尝试的又一次失败,我开始了对其恶意代码触发条件的研究。结果再次碰壁:由于刚开始点击的那个朋友的那条状态已经删除,我就点击了另一个朋友转发的hhotel的状态,结果发现这一次,我的朋友圈没有被发送垃圾状态。推测结果是,服务器端有针对ip的过滤,只对第一次访问的ip返回恶意代码,或者网站正在调整,恶意代码暂时隐藏。
2201 次点击
所在节点    问与答
10 条回复
virusdefender
2015-07-13 07:21:20 +08:00
可能是csrf,但是试了几次都没办法复现。在tsrc的群里帮问了下。
virusdefender
2015-07-13 07:30:17 +08:00
已经复现 使用手机qq浏览器
DennyDai
2015-07-13 07:36:36 +08:00
@virusdefender 求细节?
broncotc
2015-07-13 07:56:42 +08:00
@DennyDai 意思就是用手机qq browser的UA吧
DennyDai
2015-07-13 08:04:55 +08:00
@broncotc 然而手机qq客户端的空间都不能触发,以前就是这么触发的。。估计还有其他判断条件
virusdefender
2015-07-13 08:07:35 +08:00
我已经找到漏洞所在,向tsrc报告了。感谢楼主~
virusdefender
2015-07-13 08:08:29 +08:00
@DennyDai 等待修复后公开细节
virusdefender
2015-07-15 17:43:18 +08:00
Famio
2017-01-17 13:41:00 +08:00
@virusdefender 是否可转载报告文章,会注明出处,感谢
virusdefender
2017-01-17 16:21:33 +08:00
@Famio 可以~

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/205228

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX