找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2151|回复: 0
打印 上一主题 下一主题

搜狐邮箱存储型XSS漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-11-6 17:48:19 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码+ q2 [" E0 x2 T: \9 i" E
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
1 N' q0 w% y- h3 e! z  D' @3 U. |* {4 l" R  L7 J: B/ O/ S

3 i4 n* x1 o; x6 V可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
/ \* f" p, l, G( f* E而事实上。。。确实就那样成功了& e" v, ~7 l& |
有效的payload如下:
  • <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>4 A' g  T, w! Y5 v. ?6 Q
! Q: `. K4 Z' l+ @4 D$ C# Q% A
复制代码
3 o& o& g- b8 v7 R2 W, T
当然也可以缩减一下,写成这样。
  • <math><a xlink:href=javascript:alert(1)>I'mshort4 \% ^- j7 C: y4 t4 ^& z* p8 o

# Y# w- T6 A0 S  d  b' u* ~复制代码
- E5 X+ e6 Y9 w! Y
漏洞证明:
, M1 m5 q- y4 g$ h+ D4 Q* f& r7 Q0 K6 e6 X3 ~) b

; v8 S% {, O1 `- h7 \. F" U
9 Y" S- c. d2 ~3 p5 E8 L' j修复方案:对xlink:href的value进行过滤。
1 M2 k' M( ?6 G# j: i2 c) B: ~8 h# Y2 M$ l/ K4 z; P
来源 mramydnei@乌云 ' k8 {& g+ H& y$ W3 F! B( N
9 x8 x: G9 F! ]  e

- X6 K' c/ |: f: k" N

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表