简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
( t6 U' @" u, i! g$ n% s( H* a: G详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
/ d: b9 n% _; \/ O2 s4 _* \1 N! c3 s. }- y
+ P9 f8 c( Y# _可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。3 }: d( d% j) W6 h, u: P" u
而事实上。。。确实就那样成功了/ J" [" b- @% c x' U5 U+ h
有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>5 _8 P: Q' R1 z+ ~$ ]
; \+ Q* e" ^8 T( R3 f复制代码' C3 Z3 d' |9 `$ b$ {* c. ]
当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort
/ c: z" {6 |9 x- X" \& g
8 B! ~6 w. z! `+ e
复制代码 v+ H) @$ P! {
漏洞证明:8 N3 `; ?" J5 S1 E) c4 x9 X" p
1 x; a; j! V) i- c- y* j7 `
1 z" l$ L5 v. z4 j
, [ X: c4 }; H0 N3 E: C修复方案:对xlink:href的value进行过滤。
P' I# H- t6 M7 N4 g- w% S9 i3 x/ G- Y. O% }/ C' R
来源 mramydnei@乌云 3 j2 \" l) p5 l7 @' i: P
* I9 Z( Y' O$ }/ C
, y8 d7 S% ?% g9 @) T( L |
发表于 2013-11-6 17:48:19
收藏
支持
反对