找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2157|回复: 0
打印 上一主题 下一主题

搜狐邮箱存储型XSS漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-11-6 17:48:19 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
: J# \2 F' t+ v* T- ]% h" L详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么& {; Z9 {. s6 Z
2 l* [: M4 q; ?+ D
8 c& \" e6 V% Q" m# S% C4 D5 X
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。+ V7 S/ p* E9 M& O- \8 T, ?
而事实上。。。确实就那样成功了8 {- ?4 G+ I1 `- I/ k0 e
有效的payload如下:
  • <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>7 T) E3 @$ w8 s1 I' T6 ^
# M; K3 L5 F/ d$ j
复制代码

3 V! i* c9 B; T( q) i/ l4 `& D当然也可以缩减一下,写成这样。
  • <math><a xlink:href=javascript:alert(1)>I'mshort0 ]' O$ ]# q8 J! Z$ d4 g# E& k+ B
2 a5 ]7 l1 A' f$ P
复制代码

6 y. J( G$ o7 y漏洞证明:1 n: W$ y5 [  ?4 k  a$ p2 d

! g* g) N/ V* a* |' @: v7 Q4 d! O0 B; C: ^$ _9 Q
: Q. v$ D" A% D& q5 K" {
修复方案:对xlink:href的value进行过滤。
. j; B0 G$ X) i9 W) _: |$ E
& X. e- A! d: m- y' P来源 mramydnei@乌云 8 x2 J* r1 d# Q  A5 O, X, Q

. u) A/ D4 k% [$ V
" h- \8 ]% V8 L, q7 ^4 H

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表