中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
" H+ J k \: X8 E, ~
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
1 h' x4 k, E% e p/ V# ?: o) X
[attach]274[/attach]
: \, R1 {" k) t, Y' e
3 `* C6 m! h) I% `
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
% d8 h* K- @3 v9 Y& |8 ^* W
而事实上。。。确实就那样成功了
- H5 c, h# u, K% [5 V
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
0 u! Y6 k4 z% w; j/ C
5 P5 E" z; s4 W
复制代码
, O! G. d5 F' F0 B6 w# C2 M
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
) i1 l: m* ?1 m Q j$ a# m
/ u0 x* a& @2 _* M* b' p8 ^" r' V- F h
复制代码
9 f- Y( J# h# Q. e4 I/ v
漏洞证明:
; ^+ T" ~0 m7 A/ w
6 c" ?) |! d+ r7 }" F! D
[attach]275[/attach]
: P! W1 v6 c' g' L# X0 D4 V2 O
* L4 e! U/ l- M# U2 q6 r: q( l
修复方案:对xlink:href的value进行过滤。
+ z' b: T e/ T2 M4 j2 @
: w5 R0 _8 }, n7 s( h5 ]
来源 mramydnei@乌云
: K7 Y0 o. m; [
: A$ i1 q0 L3 `7 S
3 c0 O8 p+ U- T" o# q7 x0 h7 ?6 T! }
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2