中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
: v$ o' ^. `; ^/ q1 M* A' `3 I
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
* x4 z9 q- I [# }6 c
[attach]274[/attach]
! H! C6 y$ h V. O- S
4 P Y1 ~& u) Q/ N5 b5 V
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
5 o" X% w" t) K- b( T+ @2 f1 w: ^: n: L
而事实上。。。确实就那样成功了
, b5 `# `8 E; i( l0 C
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
) t9 G2 L! R- [& {, y1 }: N
5 b' v/ \2 s, |9 k ^* i# O3 ~
复制代码
% h& b; A% t; f
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
) X1 P& U `1 u; i: B( b
7 }9 p0 J% P0 q5 A' J! f* M
复制代码
8 A: S# O+ V2 v
漏洞证明:
9 `9 `8 t- X( p- c' o; t
6 @8 l0 Z0 W) G, r% W
[attach]275[/attach]
# o4 W& f/ B3 D7 F+ P
5 M" l" O9 e! Z
修复方案:对xlink:href的value进行过滤。
, N1 D* g/ x7 [* O
5 o4 G, Y: z+ ` A
来源 mramydnei@乌云
# t8 ^, m) a" e4 y$ s5 |9 J3 e
3 s' w4 s1 C) m- Q7 d
9 P; T' a! c. y$ h
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2