中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
$ Y+ \; p" V u
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
5 v* c, A' F* p) O8 |/ T4 z* o& d
[attach]274[/attach]
; Q, I% y- K- Q- S2 e. S
6 c$ H/ R7 ?6 N& t
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
" k. E# Z! c; N! Q2 i
而事实上。。。确实就那样成功了
! c9 h' P+ V! P# F# T
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
$ q$ y3 O0 c; D! |' V
0 F% v' |+ ]7 i
复制代码
3 T$ N- O: u- F: X
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
$ ~( h, g$ f$ D ^! t
& T( [3 J' W" M Y: b
复制代码
4 B1 @! G3 X# E5 Y
漏洞证明:
2 |8 R: S+ i" ~0 u9 h( E" [1 |; p
7 `! C2 ?$ X, u5 V) U7 {
[attach]275[/attach]
4 r* s4 A) `$ M( l% T7 x0 X
% l0 ?8 e: u. w% D3 f
修复方案:对xlink:href的value进行过滤。
1 b- S+ w' {% }8 }" f" f
2 R) U8 C1 R- r# l' G! P
来源 mramydnei@乌云
$ h3 \( ^5 d+ n3 m
# P6 p' _) o7 [
" C9 i0 Q, F5 z! o7 j5 K
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2