简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
4 j$ i# y, q2 _详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
: u D( Y0 d. A( ~5 i# p9 r f0 Z% _+ m) `
9 X" g5 {- H L8 S+ U. R
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。( H4 `4 J" m, U/ j ~( W
而事实上。。。确实就那样成功了& M$ |: ~! A; Z w7 l
有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
, o" A8 B' f k9 |! H3 `& k+ x
( ?' y5 }% L7 F+ I2 v复制代码
. S* x: I; s9 z1 O当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort
1 n! w' q1 ?1 w) ~: I5 @0 N
* p2 z5 \% Q' g& A! Q. M Y复制代码) Q9 a, Z2 b8 l7 f& v1 J0 k
漏洞证明:
( P+ p$ M* S- c R
9 z; O+ w# v' [& Z% \ _2 q6 U; [4 ~! A0 @& f1 C4 _: ?5 I. h
+ r) D/ F, F+ j# O/ Q. N' m' e# J修复方案:对xlink:href的value进行过滤。
" v. V" H: S; `4 H1 g3 B% T0 q
) g/ ~+ l2 y0 p' d6 Q: ~来源 mramydnei@乌云
- M; ]7 s, |$ |8 O
: `- b/ {; P5 y. q( C. } S
" \/ c8 V, [/ u4 v4 V7 w$ h d' p |
发表于 2013-11-6 17:48:19
收藏
支持
反对