简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
/ @) ? D: c7 T) u& ?详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
6 Z4 e2 r: Z1 N9 T1 l# Z V9 V$ W% m1 J& `
) I" w/ }2 M% t# `- {4 j8 c$ L可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。4 S. K& U4 }2 B$ m, Y. \: X
而事实上。。。确实就那样成功了
5 H! X. Y+ D+ p* N3 O1 O2 h有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>8 T# _% g" m! N$ s1 s; ]
0 B; ]/ S4 n+ X/ b* t6 H# a( W: Z# z
复制代码. J, X! K" s, F) f4 n- t* _; G l
当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort
% W4 r5 _4 u! r% _
; G& v: L0 M* d) v6 b
复制代码) @! R' O. S- ]0 e5 M
漏洞证明:* U7 g9 R) p/ E% F' f" ^1 C' B7 W
0 y1 S C; ?6 b5 t" m; r; u/ u
$ V$ h7 }! \6 q) W2 s' r; S3 q+ k, ~5 Y9 s2 y- m. p
修复方案:对xlink:href的value进行过滤。) q, X' N2 G9 ~4 \2 S/ ^4 @0 ]
' r7 k a! t! I9 W9 A( {6 ?
来源 mramydnei@乌云
% I! H- P1 F4 ]) |0 r, |6 b: B$ e( ?8 A2 e
9 V& W3 L k( H
|
发表于 2013-11-6 17:48:19
收藏
支持
反对