中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
( l: X2 Y* ^( B' n* a0 I
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
; {+ U4 H4 F2 b0 r- ^5 @
[attach]274[/attach]
3 }# v5 Z3 ]* N3 g0 u0 Z4 U; Q
- N" a/ a, `7 b
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
( \4 Y! r/ p6 S; N0 _& ?2 C/ a
而事实上。。。确实就那样成功了
, l6 T3 \, y) q4 A5 `
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
. E7 l5 J( w& O
1 G2 q+ [# r1 k+ H! t4 c
复制代码
1 z9 p9 v9 B- l* T
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
0 Y8 t" ]& X4 `( ]7 V2 {! k
7 U) K$ }6 t$ x# E2 a
复制代码
) ^" E4 {+ V9 W
漏洞证明:
; B( C# k: ]1 Y# O8 z V* @4 F3 u0 y
0 A3 N, F/ [8 I& o
[attach]275[/attach]
% h8 i5 P. A. Y2 X
) l$ k; Z/ K! B- A
修复方案:对xlink:href的value进行过滤。
4 v1 B$ r+ {9 }' H4 q4 y3 t
0 `6 {. v- B# ^/ m" g" _* S6 l& s
来源 mramydnei@乌云
+ A4 ?9 ^; }0 M5 G3 Y: L0 E
9 t1 X$ g; q) x) X
1 W& l4 ^3 r& V: B8 n
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2