简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码/ X4 h; c. P! J8 r) ?. a6 T
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
, q. t6 f' `% f
) {3 x/ G, [ y2 u/ c7 M) _4 R* C5 U! N8 r9 O1 _4 |
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
0 n0 ?( m3 J5 c9 A7 p; l6 X& o而事实上。。。确实就那样成功了
1 \2 v8 S7 W7 H& Y2 p* q有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
0 G* @/ Z: _6 [2 @% }7 h
% L8 C* ? c% r/ c* C/ ^5 m1 A% U复制代码
R" i) d) f' E, T* b当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort' f" K3 `: K- T5 ~8 B' B% v$ d9 x
! U* B& T) X5 j9 g* G9 I; |复制代码6 i% K1 n% d% z6 k8 q- e
漏洞证明:) s, A) d* B7 D
4 A9 c+ B' W6 v$ i; h' R
8 a, D4 c w+ Z2 n0 _
, n* }4 P" T4 p2 O, n: B修复方案:对xlink:href的value进行过滤。2 A* z6 d% O0 ~) J D6 G! g& F
% x( `, |5 Z- f, |8 R2 l/ y
来源 mramydnei@乌云
8 U0 c3 ^0 ]5 z1 T6 \1 @$ N1 H: n8 p* `! S' {+ _6 V4 t
/ B' v. Y$ U, x5 t' j1 @; O |
发表于 2013-11-6 17:48:19
收藏
支持
反对