人人网继短信XSS漏洞后在爆应用漏洞,利用这个漏洞,攻击者可以向人人“好友真相”应用的真相页面随意注入任何长度代码,而且还可以诱导用户点击,危害甚猛。
这个漏洞利用“好友真相”获取用户显示名的时候通过读取页面元素,然后发送AJAX请求的过程,通过改变元素的value值,将姓名替换为被注入代码。由于插件不过滤HTML,注入后被攻击用户在浏览自己的“真相”页面,代码会随即被执行。由于人人真相会发布“提醒”而点击提醒链接将会直接进入被污染页面,很容易诱导用户被攻击。
攻击者可以通过定义接受者ID,选定用户进行攻击。
关于漏洞的技术信息,请看:http://kanoha.org/2011/07/29/%E4%BA%BA%E4%BA%BA%E7%BD%91-%E5%A5%BD%E5%8F%8B%E7%9C%9F%E7%9B%B8-%E6%BC%8F%E6%B4%9E%E9%80%9A%E5%91%8A-renren-app-xss-vulnerability-report/
至于插入任何JS代码,很可能导致漏洞进一步扩大,甚至出现病毒式扩增的可能。这是一个0day漏洞公告,目前人人和插件作者均未作出修复回应。
发稿时,此漏洞依然未被修补,报告中所述内容依然可以实现。