简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
7 Z2 \4 f0 l, c( [5 h" [% |详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么2 b' e$ `" M ~
( T- L8 t# I' Y. i* |7 f3 D. u" J1 S0 J+ s/ [# [
可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
3 Z( K: T- |5 A' P而事实上。。。确实就那样成功了
G: l: f( z8 T" Z3 ?$ Q有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
" p2 C9 }% o) _. P2 z$ h! K
% g$ f& b' V: g/ f; H
复制代码
- x5 o$ P+ b; T$ X; r当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort: `) m% T5 @ \* a4 s9 e" z
. U) Q6 y; E; k2 Y复制代码1 E/ q% v* c# m( J K, ^
漏洞证明:8 _( M. w' w; W& J' X- }6 m
7 I' v4 K3 {9 b" }2 g& m+ d) {: u$ `
6 Q& D" s% Z+ s& |, H" J6 U* h
2 ` u) J3 S& Z( w" P. M1 B/ K, f修复方案:对xlink:href的value进行过滤。
6 K2 R! O& |" V3 _. X5 m9 n3 W( _9 Q
' T. A9 F6 {$ `3 E$ L2 T! q, ^0 G来源 mramydnei@乌云
* l; P. j- f; W! A% o2 v$ N
6 `. O$ V* N0 Z3 F) [* i/ }! N
( J7 }: w" J: I N2 q |
发表于 2013-11-6 17:48:19
收藏
支持
反对