找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2158|回复: 0
打印 上一主题 下一主题

搜狐邮箱存储型XSS漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-11-6 17:48:19 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码' S. ]- p- r0 i) H# y* n
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么& m4 e8 E* H3 Z$ {. U% }
* W5 c$ x; J% t

! b- _! \* \. T可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
, i$ i" r' j6 c: e  W  @而事实上。。。确实就那样成功了! g; C) X8 [/ ]4 a
有效的payload如下:
  • <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>+ y' A- K1 q+ s8 F4 d3 g+ J

" F4 i7 F# j8 O复制代码
1 S4 |5 d2 c6 z8 [: T
当然也可以缩减一下,写成这样。
  • <math><a xlink:href=javascript:alert(1)>I'mshort: e# a1 z! q1 K6 Z; p; h
6 h! q, J7 ^! l4 r" T/ C. ]
复制代码
) l+ c' b4 m/ v; |" t9 U: ^
漏洞证明:
0 o8 A, `- B" h& u
2 }! {* \! G/ p! J, W& z9 M1 R, j7 m. R
# Y! P- t! a. m+ D: Q
修复方案:对xlink:href的value进行过滤。
6 j* L: \" G7 n9 h$ m0 O& f" |* b, O
来源 mramydnei@乌云
6 }0 f) r* R5 x" W' m+ o
# w8 \7 B5 V( O! s: X6 O, Y5 P8 j9 z; ?0 R$ o

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表