简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码: N$ {! r. K: t3 D9 O9 [$ j
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么6 [9 ^7 v" _7 A- v" a1 D5 v
- E* v; p0 @ R1 f: r y# ?' n. y* F
" \; J' T* C: k; J1 M可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。 y4 B+ C# t% e4 h s
而事实上。。。确实就那样成功了
2 V* b& |: Q6 K/ ^0 [有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
6 f: m0 L4 l ~( D: z
# a& |, h( v0 ]$ D" p
复制代码
" { P* ~' l3 k+ N当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort2 ~7 ^) p, l7 ~% }8 ~" b# Q4 x
. u0 ?6 h1 B" }, P4 @! K7 K* ?$ I
复制代码
) R9 W b! Z# G8 i! D O漏洞证明:
) C2 P7 F8 j& ]+ F, K6 p5 |1 ~" D. h7 B
- a* @% V% S% B, ~& t u i& A5 B
* b. t6 [; ^: ^2 Y3 a4 y. L修复方案:对xlink:href的value进行过滤。( \7 y' J8 z! v8 X' K: \9 t& @
0 h- r0 m: T4 @( O
来源 mramydnei@乌云 1 Y: z3 g$ {- ~! h; V7 h' C9 |( ~1 f
4 x: @* D" {2 E q) K: k/ T; J) c% W3 O& g7 j
|
发表于 2013-11-6 17:48:19
收藏
支持
反对