简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
$ p5 a7 ^# G- k7 x详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么* J7 R: a2 l$ }, [) y9 w
: U" J4 M+ N D2 k
! H2 J9 y' W* E+ u- x) D& K
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
a. P0 U$ _% K' u% t5 C7 s+ X而事实上。。。确实就那样成功了0 S* m3 ^. P8 n% D ]6 h Y3 \2 Q/ k
有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>* \; {% g+ g9 H6 ~+ Y3 }- B
1 @; @3 ]& g( O: [
复制代码+ J! F. i5 r" j. U# I
当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort% o# F- ?# i% g, J ?! S
% U% a* P8 B" W1 k) V& Q复制代码
: h; i/ Y0 X7 Q漏洞证明:0 z: j& J, H% ^7 [. ^, b4 u, u
) E7 w4 z6 A% C0 \
& N6 D1 n3 i8 _7 P( ? J! F- j2 b
修复方案:对xlink:href的value进行过滤。% {8 C# X( b) F L. U1 {4 N
2 L! @1 a; p2 H, M. |来源 mramydnei@乌云 . l1 Y4 \+ t" b9 R1 r
% M& {( f5 ^( k7 P
7 k) ?& a ]0 c: J5 n- K( ]" ]& C |
发表于 2013-11-6 17:48:19
收藏
支持
反对