简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码/ S/ s6 Z: k5 Y2 }
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
2 t, S2 _5 q) D; h5 f2 |9 r1 i7 t" P+ s5 S) r2 C
+ ^7 Y' d1 N* t9 Z; T7 q可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。. L; N$ s! e. I2 W+ F3 m6 ~
而事实上。。。确实就那样成功了0 p" B4 `3 ~" M* |/ v1 ~' e7 {) }9 x
有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>; e# b' C" S- t0 I$ o
7 ~* y# r# d Q! m% G7 O复制代码 v9 V) R) z) Z$ w7 E- \' m
当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort
* T& x/ l! z/ M/ h x* j- d
* d* v5 r$ G3 C5 K' i复制代码
. i( z3 `# u0 i1 _0 L6 N% I) Z9 M, E; C漏洞证明:
' B# B$ ?' C- }3 Z0 @6 r, c; U( v) m: K
3 ?+ X$ Q; S, p9 C
1 h: ]7 n9 q4 Z4 @% o# s修复方案:对xlink:href的value进行过滤。
* e3 Z! Z" I2 X8 s3 ~& I4 _' f
- T3 C" Z5 k, z% F! {来源 mramydnei@乌云
' [7 O: y6 A' S7 N2 H; m& S$ N8 A4 v5 c K
. i) G) A' I: c1 s/ y& j |
发表于 2013-11-6 17:48:19
收藏
支持
反对