简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码! l g% j# j/ z
详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么6 G9 _; x1 b' O+ g6 `) d, j- w& h2 e
. `; k0 r/ A! S4 w+ b
. S2 V0 I9 y( j, R$ b可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
" K& O8 B; R2 l- f而事实上。。。确实就那样成功了, f9 U) A, [, B
有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
t) b% X& y' Y5 Q) D* s
$ k. b/ K$ x c/ T5 K+ C
复制代码 d' R9 [6 H/ g& Z9 ?
当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort
- ?) E7 V4 ^+ I1 f( L$ X
' F2 m( A0 a$ s1 j复制代码
+ Q7 Y# n2 b' D+ E0 t% z q漏洞证明:
. J6 N/ h# E- x* V3 A
0 e0 g% q' J; T/ T; q& h/ L( ^- h6 l" q/ G* \/ R; W
7 P4 b' F. W. z' `) u( y6 {' w修复方案:对xlink:href的value进行过滤。6 w" A, o. J w9 D
' ?3 N+ P8 i- c; A6 }1 H0 w来源 mramydnei@乌云 1 o1 r* M, \! R( Y* w" x0 V- y
, E1 v$ X( [1 l
% z( g3 k. H7 i' C |
发表于 2013-11-6 17:48:19
收藏
支持
反对