中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
# b8 ? |7 q( q! X. B0 h0 ?
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
* Y6 N) B* s% u! e# g' S/ o$ l2 t
[attach]274[/attach]
+ Y6 g9 R% S" c% D& T* f
* G7 L/ S$ a, l- D0 b8 g
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
5 T9 {3 k) u* A3 V- k* P
而事实上。。。确实就那样成功了
; [6 Q( n: Q; A+ F4 |
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
# y7 z" j0 |) q# U8 F# p$ ]+ K
) `. q0 @0 _' w5 |! X* C9 \5 a0 u4 V
复制代码
& A+ b, m% R' n8 @, x
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
T7 G0 r* W: H. K) I
, E* C6 b! l- h- D, m/ b" H, k# d
复制代码
% _8 s9 p( ~' P# e4 e5 U- g6 _" h
漏洞证明:
a. w4 ^9 V% C, E2 l7 t x8 [
, N0 H% _8 R/ t# }3 a
[attach]275[/attach]
- r, C' {/ ^% H* w; [+ N9 t) e
1 `9 Q5 u: i- C* e0 c0 A4 D. v9 b
修复方案:对xlink:href的value进行过滤。
1 ?$ D6 p. m( P3 f# h
' y! A1 ]- {2 u4 `
来源 mramydnei@乌云
u5 j$ E1 f- |( L- q7 N3 u( R$ k
6 J0 g+ R1 K; ^7 h
/ p! `$ m, T1 S" A, J$ G, r
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2