360极速浏览器7.5及以下版本同源策略实现漏洞可以查看其他网站密码

编号107637
Urlhttp://www.wooyun.org/bug.php?action=view&id=107637
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题360极速浏览器7.5及以下版本同源策略实现漏洞可以查看其他网站密码
漏洞类型未授权访问/权限绕过
厂商奇虎360
白帽子路人甲
提交日期2015-04-13 15:51:00
公开日期2015-04-13 16:37:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank15
厂商评级
厂商评rank0
漏洞简介
360极速浏览器7.5及以下版本保存密码泄漏
漏洞细节

360极速浏览器7.5及以下存在密码保存同源机制错误配置的风险。
IDA查看主dll文件

image002.jpg


image004.jpg


结合调试,可发现,以www.cnvd.org.cn的保存密码为例。
360极速浏览器密码读取机制为:
SELECT origin_url, action_url, username_element,username_value, 'password_element, password_value, submit_element,signon_realm, ssl_valid, preferred, date_created, blacklisted_by_user, schemeFROM logins WHERE ( signon_realm LIKE '%domainname%' )
若域名是www.cnvd.org话,则程序运行逻辑为:
SELECT origin_url, action_url, username_element,username_value, 'password_element, password_value, submit_element,signon_realm, ssl_valid, preferred, date_created, blacklisted_by_user, schemeFROM logins WHERE ( signon_realm LIKE '%cnvd.org%' )
根据like语句的取数据方法,www.cnvd.org.cn刚好符合上述条件,因此www.cnvd.org.cn的用户名和密码被筛选出来,但www.cnvd.org与www.cnvd.org.cn是完全不同的网站。
www.cnvd.org.cn的保存密码可以被如下密码所读取
%cnvd.org.cn%
%nvd.org.cn%
%vd.org.cn%
%d.org.cn%
%cnvd.org%
%nvd.org%
%vd.org%
%d.org%
%d.o%
因此上述保存密码属于错误的同源策略配置,导致保存密码被若干不同源域名读取。

POC

www.cnvd.org指向了127.0.0.1
可以在www.cnvd.org.cn保存密码,然后通过www.cnvd.org域名用基本的用户名密码框即可读取。

<form action=save.php method=post>
<input name=username>
<input name=password type=password>
<input type=submit name=submit>
</form>


实际攻击时,只需要上述表单自动提交就行,即可实现远程窃取保存密码。
一个页面中可以包含若干个frame,实现批量获取360极速浏览器中保存密码,当然有前提条件需要符合条件的域名或者在符合条件的域名上找到漏洞。但由于有很多的可选域名,譬如cmbchina.com,因此这并不是一个苛刻的条件,甚至很轻松。

修复方案

密码是重要的重要敏感信息,应严格按照同源策略来保存(完整域名+端口+页面)和提取。

状态信息 2015-04-13: 细节已通知厂商并且等待厂商处理中
2015-04-13: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-06-07: 细节向核心白帽子及相关领域专家公开
2015-06-17: 细节向普通白帽子公开
2015-06-27: 细节向实习白帽子公开
2015-04-13: 细节向公众公开
厂商回复此问题属于chrome内核老版本已知问题,360极速浏览器早已修复。目前360极速浏览器线上版本(v8.1/v8.2)均不受此问题影响。
洞主将此问题提了360SRC又提Cert,现在又提到Wooyun,辛苦洞主了,感谢您对360安全的关注。
回应信息危害等级:无影响厂商忽略忽略时间:2015-04-13 16:37
Showing 1-54 of 54 items.
评论内容评论人点赞数评论时间

极速模式用的是chrome的内核,所以厂商应该是chrome才对啊!

昌维02015-05-12 00:27:00

360处理问题还是这么不要脸~~

zph02015-04-20 08:24:00

@varas-ra 淡定淡定~以后360的问题直接打脸就行了,没必要再给他们提交了。想当初给他们提交了一个文件防护绕过,第二天修复完了然后告诉我漏洞不存在,忽略~

毕月乌02015-04-18 01:21:00

@疯狗 跪着审洞 很辛苦 保重肾体

nony02015-04-17 23:40:00

@ganggang 个人偏见!没理由- -#

找寻者02015-04-17 20:18:00

@找寻者 你说的好有道理,到底是什么道理,360竟无言以对...

ganggang02015-04-17 18:04:00

我顶你个肺

黑色的屌丝02015-04-17 16:15:00

一直以来都对360有偏见,不为什么,就为我也是做互联网的,虽然我只是个程序员!之前我工作的时候,如果我是技术负责人,那么我部门的全部电脑不会出现任何360,不为啥,仅仅是因为我对那有偏见。。。

找寻者02015-04-16 07:59:00

@varas-ra 使劲顶你!360推卸的太干净了,高,实在是高

Rainism02015-04-15 04:37:00

我居然看完了,好像与双投没有关系,处理机制问题

魔鬼的步伐02015-04-14 23:15:00

没有洞客户电脑就问题,客户电脑没问题,就不会需要360,不需要360帮忙就没业绩,没业绩就没奖金,这不是简单的一个洞,这是人心的一个洞

catcat52002015-04-14 22:38:00

既然是老版本的问题。为什么不告知用户?为什么不通知用户7.5的版本存在漏洞。这个才是你们考虑的。而不是考虑怎么样藏着掖着

耐小心02015-04-14 20:33:00

套上个chrome的内核就成了360浏览器

also02015-04-14 20:09:00

@varas-ra 使劲顶你!

0c0c0f02015-04-14 18:36:00

@varas-ra 使劲顶你!

hkAssassin02015-04-14 09:43:00

@奇虎360你们那个补天平台审核真是个渣渣。提交的欲望都没有。

惜朝02015-04-14 09:29:00

。。。。我躺着中枪了

Arthur02015-04-13 23:48:00

这是啥情况

zhxs02015-04-13 23:08:00

@varas-ra 洞主牛逼,不怕数字追杀你么?

孤独行者02015-04-13 21:54:00

@奇虎360 360chrome 7.5 采用的是chrome 30的内核 经过测试 chrome30内核以及若干低版本内核都不存在这个明显错误的问题 怎么评估得出来是chrome自身安全问题?何况如果明知360极速浏览器内核有问题而且就像您说的是公开的,为何还用这个内核?而且在提交漏洞时,360极速浏览器官网7.5版本是放在首页提供下载的,说明在提交漏洞时7.5是业务线的一部分。另外,新版本是简单替换了内核,并非是修复该问题,如果早就知道7.5有问题,何必把7.5挂在首页放那么久,不管用户密码安全么。漏洞标题专门强调了是7.5及以下版本这不够么?7.5及以下版本有多少用户你们最清楚,这种有大面积用户的软件,用户有权利知道自己的安全状态,封闭起来就安全了么,能做的就是让大家知晓这个安全风险,请您见谅。

varas-ra02015-04-13 21:21:00

我顶洞主。

Ano_Tom02015-04-13 20:39:00

卧槽,又是1万大洋

f4ckbaidu02015-04-13 18:26:00

@varas-ra 360src处理漏洞报告的过程:1.360src接到漏洞报告后,和业务团队进行验证,漏洞报告是验证状态,并未确认。2.业务团队评估此漏洞是chrome自身安全问题,早已已知并对外公开,且在漏洞报告之前,360极速浏览器已在新版中修复。3.360src沟通漏洞有效性,漏洞提交者回应确认测试的是7.5老版本,漏洞不影响8.0及以上新版本。4.通知漏洞提交者7.X版本属于旧版本。由于极速8.0正式版在去年2014年就已推出,漏洞报告前7.X就已计划停止下载。所以360src按照漏洞处理的基本原则,判定此漏洞报告无效。5.关于软件升级,对于受此问题影响的老版本用户,360软件管家和浏览器自身都有升级提醒功能,可以帮助用户升级到最新的稳定版本。

奇虎36002015-04-13 18:13:00

我是看见打雷进来的。

顾顾顾金威02015-04-13 17:47:00

@varas-ra 习惯就好

泳少02015-04-13 17:19:00

一个很经典的客户端SQL注入。。

梧桐雨02015-04-13 16:59:00

喝口凉水平静下,还好不用数字浏览器

xyang02015-04-13 16:59:00

说了那么多,据说这个漏洞会奖励¥的哦。

zeracker02015-04-13 16:54:00

一开始 提交360src 360src自己确认了这个问题(目测之前压根就不知道这个问题) 但确认后把官网7.5的下载链接撤掉了 然后忽略该漏洞按照负责人披露原则 厂商忽略 当然可以公开了 cert和wooyun都是360src忽略之后的事情了而且这个漏洞 可能危及广大用户密码安全 有必要公开 藏着掖着算啥

varas-ra02015-04-13 16:53:00

一开始 提交360src 360src自己确认了这个问题(目测之前压根就不知道这个问题) 但确认后把官网7.5的下载链接撤掉了 然后忽略该漏洞按照负责人披露原则 厂商忽略 当然可以公开了 cert和wooyun都是360src忽略之后的事情了而且这个漏洞 可能危及广大用户密码安全 有必要公开 藏着掖着算啥

varas-ra02015-04-13 16:53:00

7.1的躺枪

香草02015-04-13 16:53:00

7.5之前版本存在了很长时间 而且目测现在还有很多人在用7.5 至少要让大家清楚原来有问题 不是藏着掖着 这是对用户负责 因为这有可能已经引起部分人密码泄漏了

varas-ra02015-04-13 16:49:00

有漏洞应该及时提醒用户升级啊,但是似乎没有看到这样的公告,乌云欢迎和鼓励漏洞的公开透明处理 :)

xsser02015-04-13 16:47:00

有漏洞应该及时提醒用户升级啊,但是似乎没有看到这样的公告,乌云欢迎和鼓励漏洞的公开透明处理 :)

xsser02015-04-13 16:47:00

我觉得可以赶紧公开

xsser02015-04-13 16:46:00

坐等

天地不仁 以万物为刍狗02015-04-13 16:46:00

NB!

秋风02015-04-13 16:44:00

洞主看来,,,360知道你是谁,并也知道你的为人 哈哈

’‘Nome02015-04-13 16:44:00

我觉得可以赶紧公开

子非海绵宝宝02015-04-13 16:43:00

洞主一洞多投,被360鄙视了 。。。

greg.wu02015-04-13 16:42:00

Mark

泳少02015-04-13 16:37:00

mark 应该挺有意思。

梧桐雨02015-04-13 16:31:00

他们都问我为什么跪着审漏洞--

疯狗02015-04-13 16:16:00

@xsser 我觉得是以前chrome走过的安全坑,它也要走一遍?

todaro02015-04-13 16:16:00

@varas-ra :) 很赞

xsser02015-04-13 16:10:00

洞主操刀就是硬~

an0nym0u502015-04-13 16:07:00

理论上是有可能的

varas-ra02015-04-13 16:03:00

日了狗了,@360君 的草榴账号密码会不会泄露?

ganggang02015-04-13 15:59:00

卧槽!!前排

孤独行者02015-04-13 15:55:00

卧槽,今天是什么日子??最新提交真是日狗了

’‘Nome02015-04-13 15:55:00

猜猜5分的节奏 哈哈

BMa02015-04-13 15:55:00

diyicishafahaojidong

有一种精神叫helen02015-04-13 15:54:00

二楼

Hxai1102015-04-13 15:54:00

叼叼叼

浅蓝02015-04-13 15:54:00