简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
- c7 q2 w+ O" l" Q! G' d! n. z详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
3 C- w5 g+ ]* s7 ^3 Y! M
$ _: Q5 v: T. X6 r* c
: q+ E# R3 |- d; L可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
5 i# e9 v. _; e8 k) g2 o& a而事实上。。。确实就那样成功了8 _5 W( n! `7 w& z# q7 b
有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
4 X1 e3 X7 Q1 ~8 {0 G
0 A* V$ j( ~, ?# }# x% _
复制代码) q: A; I5 S6 E
当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort, {: i4 |( S4 s
9 o) K7 y3 h: \, t4 S
复制代码/ w: t3 e) b; @: B. T* u4 H
漏洞证明:
) m0 |9 d- [: k1 a9 L: N: Y6 r# r5 Z& j% P$ r* @
: C" t# {4 M) u# u L4 c- a2 U% \* L# K x, l i2 V4 V
修复方案:对xlink:href的value进行过滤。7 o2 f# h9 x: W/ Q4 ~* r
3 {/ d4 H, u( R/ j9 S
来源 mramydnei@乌云 6 E1 K- w1 n& r+ b- x) j
: _) d5 j4 E8 y/ x% T6 L, v2 a
. D% d c, p8 ]6 l |
发表于 2013-11-6 17:48:19
收藏
支持
反对