中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
6 Y# t" d9 ?" l9 l7 G
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
3 A" }* E2 G; G+ t% t @! h% ?
[attach]274[/attach]
1 g W) I" ~9 V+ f; O
$ P) P! B: q" S5 Z+ S% r O
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
8 e5 O* S. F9 g; h3 [1 c
而事实上。。。确实就那样成功了
- Q: J" J7 e1 j% g7 U, P7 D
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
& k1 V' x% Z9 y- B! I
$ o* Q5 f; M% E: _8 w% w2 F
复制代码
/ f9 h9 H0 a% S3 U
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
- q% n: ?1 f! H7 E+ d
_3 u& f3 \' P: G' q
复制代码
: d9 l1 s0 m; V) O
漏洞证明:
" E9 `& \( f, y- \/ ]
5 R) d% C, F- e- p7 |
[attach]275[/attach]
& ~7 q% x3 P4 @, `& k/ ?
/ B. z* y" ^* K- ]) c U4 Y
修复方案:对xlink:href的value进行过滤。
$ F: O& \* R" A7 o! S7 R
8 j8 d2 V2 I+ ?( J0 x/ U
来源 mramydnei@乌云
6 b: I) z, g3 m% O/ P
( Z& a. D8 F" o# h% t
5 G3 X4 S% R( ]: b
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2