中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
( i) [8 ~1 E/ e8 l: o, b7 B$ F
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
) A. j& z- c0 J) y; ?
[attach]274[/attach]
9 O$ H/ t% j# |& j+ a& Q* \
; A- g$ B4 C; {2 ~ h: K
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
" C8 f- Z: p3 q: d3 B+ K
而事实上。。。确实就那样成功了
- }& j6 g2 [- _2 w
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
1 k: ]/ p4 D$ h( [9 a- X; I8 p% m" g
) M/ y- F( ~9 O6 x% G7 v9 S
复制代码
# K% t0 K6 X- z# j: `6 |
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
, C- h L4 W1 Q& s, w: F7 r
6 u8 K8 `: B2 i" D
复制代码
: a9 ]6 L/ L* Y1 ^1 |0 ^+ S, q
漏洞证明:
1 d L, @* l, D4 \" t% f# S. s
/ n k% \5 A9 w- y2 X
[attach]275[/attach]
9 f+ j6 S1 ?( C4 }, m1 Y, R6 \
9 P0 D$ p. l! m" T$ n
修复方案:对xlink:href的value进行过滤。
9 t( ?! |! O( w! b
6 M. k: W8 H" F5 d, J
来源 mramydnei@乌云
* T8 W/ z7 \* G" ~
5 u; c+ V1 _! v' c0 G( s+ K8 n' t6 {
( p- V ?/ T( m' Y( `: Y- `
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2