人人网“好友真相”暴XSS注入漏洞

文章转载开源中国

人人网继短信XSS漏洞后在爆应用漏洞，利用这个漏洞，攻击者可以向人人“好友真相”应用的真相页面随意注入任何长度代码，而且还可以诱导用户点击，危害甚猛。

这个漏洞利用“好友真相”获取用户显示名的时候通过读取页面元素，然后发送AJAX请求的过程，通过改变元素的value值，将姓名替换为被注入代码。由于插件不过滤HTML，注入后被攻击用户在浏览自己的“真相”页面，代码会随即被执行。由于人人真相会发布“提醒”而点击提醒链接将会直接进入被污染页面，很容易诱导用户被攻击。

攻击者可以通过定义接受者ID，选定用户进行攻击。

关于漏洞的技术信息，请看：http://kanoha.org/2011/07/29/%E4%BA%BA%E4%BA%BA%E7%BD%91-%E5%A5%BD%E5%8F%8B%E7%9C%9F%E7%9B%B8-%E6%BC%8F%E6%B4%9E%E9%80%9A%E5%91%8A-renren-app-xss-vulnerability-report/

至于插入任何JS代码，很可能导致漏洞进一步扩大，甚至出现病毒式扩增的可能。这是一个0day漏洞公告，目前人人和插件作者均未作出修复回应。

发稿时，此漏洞依然未被修补，报告中所述内容依然可以实现。