中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
' ~* z. q0 m2 y
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
& ^- Y; j# D& i; B* K8 k9 a1 g
[attach]274[/attach]
# ?; |' ]0 |7 K( T( Y& y
S4 b& a* k( E& h3 `4 h
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
' l' y% P) {. P; F$ h ?
而事实上。。。确实就那样成功了
$ J |3 F" K+ }- Y4 ^. i+ o3 ^
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
7 y/ ~8 p# m4 ]3 m0 w5 B
( T6 _* m1 |! {0 A" j
复制代码
$ ^( Y$ W) h( @' y7 q
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
8 V7 a: C3 f7 z) Y1 _, ]
& O% s# c0 I8 C% G" t
复制代码
/ j8 H$ z! y8 j) j/ U: Z; z
漏洞证明:
' N5 o( |$ m+ ?
! p' q" R0 K; u) s& m2 P
[attach]275[/attach]
% b% u6 ~8 }7 Z# f3 C; }: c# ^; n
/ ?/ `8 j4 _1 A* x8 N
修复方案:对xlink:href的value进行过滤。
2 x6 [5 P, o5 C0 O& m) P6 L6 w
& k" S+ k8 q' t; m# v" P
来源 mramydnei@乌云
! h; ]% I3 e4 ~! z' {1 p
' B2 n. s5 B8 d6 n. a4 ^
- G7 c+ w! g8 r* p. ?( `. L
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2