简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
. r; h* U- V" k6 k$ Z2 {详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
! y0 n1 h: O2 `, L t4 ]
+ e. G+ J6 V6 H) h0 l9 d' I
& j/ w; E- Y* E可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。2 P, |. @8 @% t* Q, g6 ^
而事实上。。。确实就那样成功了
L2 @' s$ F9 s* X1 r% e有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
/ j# O8 r1 k& T0 G2 H. W0 K9 K
. I1 e$ e7 R, A8 N R* Q
复制代码, j0 q: R% J0 O) ^3 o8 Q% I: p1 e! J
当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort
6 C1 c) b8 @0 i0 w3 m7 C' I
& d* B2 M+ K8 R; P7 u
复制代码& w4 \3 V. \( p8 K
漏洞证明:
/ q9 q7 `! F" h: _# y1 a- t
& t- \! q+ @0 F; m3 t$ _
! ~8 |8 K8 g* D7 O
9 V2 X: E; K/ P- D' f! N& p修复方案:对xlink:href的value进行过滤。
+ d: X& D6 a4 b; L. T3 s4 X( D& `$ |7 E9 @6 P+ A
来源 mramydnei@乌云
8 V3 U/ I2 n4 T5 U w6 L
. c( {/ j" {- }5 z, e6 x( M/ ~2 O: ]$ a. O
|
发表于 2013-11-6 17:48:19
收藏
支持
反对