中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
/ @2 \6 t5 X; }
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
3 F' i4 N5 O: X: u1 V5 ~: g; {6 a( v
[attach]274[/attach]
$ a9 x' C4 |& o1 z2 g
8 U7 N, T4 _; O; _( Q+ N; W$ v
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
$ B* `. R, n2 t
而事实上。。。确实就那样成功了
$ e: b0 q% q; F# e% L+ [
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
1 G# i3 x( D, {& g- @( }
2 E1 S0 d1 I1 K' o0 @0 u8 Z
复制代码
/ g% w$ ` c# \& x/ m
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
! u: g0 Z- A1 D* a4 d+ O. j2 F
' u2 V. B7 t( U' N
复制代码
- z' F, J1 O1 K( u" _: q d
漏洞证明:
! v3 |% @' s( M
/ _1 A4 e5 X* n) B! i. u/ t
[attach]275[/attach]
5 ?/ D2 Q% G3 h# h+ i- e# L
' x8 p9 t2 `) O# r) V+ b6 R9 i
修复方案:对xlink:href的value进行过滤。
7 Y. Y* U" r: u0 ?, w! c
& V( l6 \2 \( a5 `
来源 mramydnei@乌云
, _8 F1 _# Q. d' L
3 n, t) ^1 |. d" J3 O
3 G1 o$ U" t b) |, H
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2