简要描述:对某标签和某属性过滤不严导致可以在邮件中植入恶意代码
; e- Z" R6 k. Q+ T详细说明:按照老习惯通过支持html编辑的邮箱往目标邮箱海量发送xss vectors然后看漏了什么: O5 u& n3 N: {
+ I$ F f% l% d# h& O/ _. J
5 |5 g c4 b' x( c. q可以看到我的svg被提前闭合了,rect里面的 width="1000" height="1000" fill="white"各种属性也和王力宏那首“你不在”一样,不见了。。不过貌似对于xlink:href没有过滤这是硬伤啊。接下来只要能让我插入math标签,这个问题基本上就算是解决了。
0 `) V1 F5 c) E, \( u! r0 F& R3 N. X' b而事实上。。。确实就那样成功了
9 {. {, s5 K$ |( e. V7 ^* t7 b有效的payload如下:- <math><a xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="javascript:alert(1)" target="_blank">abc q<rect></rect></a> </math>
y) v0 B9 J6 I
+ \& o R7 G- S1 @0 y3 M. {$ z
复制代码0 N+ r' U& h, _" H' ?* r' v
当然也可以缩减一下,写成这样。- <math><a xlink:href=javascript:alert(1)>I'mshort: T! f; h7 n% g/ B
y7 O$ V6 Q8 }1 T8 p2 R4 b复制代码$ W% [1 r# E# _7 k# o
漏洞证明:) [' j6 h$ C& L# ~0 M) ^' ~/ T
0 W/ r: A. j( n8 M8 Q
( w! o$ z/ H, p
( c" S& F5 K, ~; K" b! r修复方案:对xlink:href的value进行过滤。, _ ? p6 q4 Z% ?0 k
+ I% L& `# m5 `来源 mramydnei@乌云
* L1 B$ J6 u' j9 f! c8 P6 Y% U+ o' b2 v2 J# M, k4 |
/ _8 d9 p6 K j& i1 n, k
|
发表于 2013-11-6 17:48:19
收藏
分享
支持
反对