中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
. g9 h( [) i: O, Q
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
, e2 p2 b) o' Q3 J, B5 g7 L7 Z% q1 q
[attach]274[/attach]
H2 Y/ k8 m) r
8 M& c1 t5 { H/ [
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
2 ~: h; V4 V- `. W0 ]
而事实上。。。确实就那样成功了
9 b/ t' p; `# j/ i0 B% p* |" a1 }
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
' ~. j# T* ?4 g9 l! c! T5 I
6 q8 O; r1 W" a
复制代码
4 a }, D1 r% }7 L. j: I7 V
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
: B9 b3 p' f4 R
& z/ ?( z3 B6 f1 ]4 G$ d
复制代码
; b6 }# \7 d, D& G6 ] c
漏洞证明:
n1 P5 R) r3 O0 Z2 P7 S
: ?6 F c0 s k" `+ l. Y
[attach]275[/attach]
; H r. t4 V$ T, l8 s. O
- i S4 m1 E$ h% v: S
修复方案:对xlink:href的value进行过滤。
[& K( Y* ?2 C8 a
- x4 a- k8 ~5 U: Y0 u) L, [. Z
来源 mramydnei@乌云
- j" _6 r) G5 J, [' x
- w7 c( G5 p. y9 C$ o
1 Y; C. D. r. P& u& ~' V
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2