简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码, M/ N0 d( J; t, @( A4 ]# O
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么! x' F9 ?4 \! e' v
" f3 G0 M, i' o* Q6 `0 S9 q
6 H7 w1 [. A+ X& h* q, |* l
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。! Z% @1 Q( v1 p
而事实上。。。确实就那样成功了- O' ^5 G" C4 ~& {! J5 k7 c8 w
有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>3 |. g" o: |( f
; E1 |9 `8 h0 h3 b; L) I$ L/ V2 n复制代码3 X, Y0 T7 z2 R/ j3 \4 z
当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort7 S1 X# P5 a, F+ K; O! m
# T! M8 v; b% R6 \; N: R1 }: f9 z
复制代码# S( {: ^& w2 [- ]4 x8 Y( l9 _6 c
漏洞证明:
e2 ~- C; t C0 Q5 P
6 n0 c% H4 |4 }8 v+ Y, k3 t9 H$ y7 E+ |/ U: s" C1 v5 `
+ b' N r6 b* L" e: u修复方案:对xlink:href的value进行过滤。& {9 a6 j5 j+ t* z$ X$ K
9 I8 K, b( g' ~: [4 t5 f% E
来源 mramydnei@乌云 ' F- ^8 Y' O8 c3 ?
. ~% n' d4 `; X* M7 }" \- H- h# j* A5 E
|
发表于 2013-11-6 17:48:19
收藏
支持
反对