中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
3 Y! g% J% n/ i" m1 X
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
. _+ }7 \: n3 ?. u. E, y5 E3 K
[attach]274[/attach]
0 I+ l8 F% C) ^4 R/ ~" E
& e5 T) k. N( L. {- J
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
* F; I+ k+ k2 [4 H5 j
而事实上。。。确实就那样成功了
N5 J. j5 {, p: X3 I0 m
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
7 A8 @( @9 M9 |1 a
6 b' P( P# }4 }1 c3 l: {
复制代码
3 k3 d0 Z9 b& @% B
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
$ n# @. t: c$ t/ C$ S+ U. C1 R; ~, o
b+ x' I4 Y J9 X. n
复制代码
4 g1 Y9 g$ `7 @1 f. L
漏洞证明:
+ o" _ H2 Q" m# F0 M$ [4 C1 T
3 _8 g2 N+ u* p3 o0 b5 D
[attach]275[/attach]
4 y3 a0 y& n3 M$ O7 m7 i
; K" m* p4 H( k7 [% E7 b
修复方案:对xlink:href的value进行过滤。
5 w2 _% s! F; g2 [( w
* {% Q* }1 ? ~/ {; v
来源 mramydnei@乌云
9 d1 U$ e- v8 q/ m+ l, X
, g( c; D+ M+ l9 \: u1 m8 E( z
5 n6 W. P+ ^# l5 ?
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2