中国网络渗透测试联盟
标题:
搜狐邮箱存储型XSS漏洞
[打印本页]
作者:
admin
时间:
2013-11-6 17:48
标题:
搜狐邮箱存储型XSS漏洞
简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
$ ~' @# j( F) h+ n6 v
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么
6 B4 e i1 P8 w" b
[attach]274[/attach]
& e/ j8 j. k) j4 q
C+ o9 ]- w/ X& v% p6 _$ o
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
u$ m- m3 J# h- w
而事实上。。。确实就那样成功了
5 b1 P5 R* V' J! O
有效的payload如下:
<math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
& Z0 P9 }* Z* W3 J! Z
( m: q- x: F) M* X h: T3 Q5 s1 q
复制代码
1 X& Y* ?, ?6 t# V
当然也可以缩减一下,写成这样。
<math><a xlink:href=javascript:alert(1)>I'mshort
6 }6 B( U5 W+ ^
5 c/ Y. ]6 a$ {8 l9 ~) I5 p
复制代码
' r5 U' f. @3 M1 v" a \
漏洞证明:
0 {, D- [# H/ y
/ M/ L3 c) P1 k4 s' U+ V' R# }
[attach]275[/attach]
5 Y! ~8 w1 n9 L. r
# ?9 c2 R0 A7 L4 B7 s, Y: Y
修复方案:对xlink:href的value进行过滤。
, i5 D6 Q1 O% X' M6 Z# D' Z
) H3 T# O8 i* [
来源 mramydnei@乌云
8 Z) l- l0 ~" F" g e5 ]) D6 j1 [' K
) O$ f9 A4 |4 n3 Q" E
) l/ Y, P: d" q: h( X% R
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2