漏洞概要
关注数(24)
关注此漏洞
漏洞标题:[腾讯实例教程] 那些年我们一起学XSS - 17. XSS过滤器绕过 [通用绕过]
相关厂商:腾讯
提交时间:2012-12-29 18:00
修复时间:2013-02-12 18:00
公开时间:2013-02-12 18:00
漏洞类型:xss跨站脚本攻击
危害等级:低
自评Rank:2
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-12-29: 细节已通知厂商并且等待厂商处理中
2012-12-31: 厂商已经确认,细节仅向厂商公开
2013-01-10: 细节向核心白帽子及相关领域专家公开
2013-01-20: 细节向普通白帽子公开
2013-01-30: 细节向实习白帽子公开
2013-02-12: 细节向公众公开
简要描述:
关于反射型的基本东西,暂时就到这啦,如果后面有什么好的case,再做增补。最近,有些人会问到怎么绕过浏览器的XSS过滤器,所以从这节开始,给出点绕过的例子。当然这些绕过浏览器的方法,不是万能的。不同浏览器,不同场景都会存在差异。满足场景要求时,才可以使用。
IE的一些绕过见乌云上的 @gainover,@sogili 的例子,我们教程就不再提及了。
此文给出的是一个来自sogili分享的chrome下绕过过滤器的方法,在腾讯某处XSS上的应用。
这一类都算是“结合了一定场景”,绕过了浏览器自身的防御机制,具有一定的通用性,我们称为“通用绕过”(瞎起的名字,别在意)。但是在后续版本的浏览器中,这些技巧可能会被浏览器干掉从而失效。再次强调:通用不是全部都行,意思是所适用的场景实际发生的概率比较高!
详细说明:
1. 其实就是个普通的XSS点,uin参数没有对任何字符进行过滤。
2. 正是由于这个点什么都没过滤,浏览器自身的防御机制也最好发挥作用,瞧瞧,chrome拦截了。。
有的新手,不知道有过滤器的,更是会觉得 “啊,这是怎么回事,怎么不行啊,明明可以的。。”
我们只要看到console里有上面那句,就说明 chrome的过滤器大发神威了!!
3. 我们也看看源码。
危害部分被和谐了。
4. 那么怎么绕过呢? 这里直接说方法。
5. 首先要求缺陷点,允许 < , > 。其次,要求缺陷点的后方存在 </script> 标签。 我们看看当前的这个点的代码。
6. 可以看到上面的要求均满足。我们就可以使用以下技巧。
7. 代入到我们的利用代码里。
这次,我们就成功啦。
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2012-12-31 09:56
厂商回复:
非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。
最新状态:
暂无
漏洞评价:
评论
-
2012-12-29 18:02 |
陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)
-
2012-12-29 18:04 |
心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)
@陈再胜 不是大结局,前面只是反射型的说完了,接着还有存储型的。
-
2012-12-29 18:06 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
@心伤的瘦子 @陈再胜 胖子的意思是说,第一季已经结束,第二季马上上映、、天天熬夜挖洞,写教程,胖子自然变瘦子。。。
-
2012-12-29 18:28 |
Clar ( 路人 | Rank:5 漏洞数:2 | 当前无)
-
2012-12-29 18:28 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2012-12-29 19:06 |
D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)
-
2012-12-29 19:13 |
0x00de ( 路人 | Rank:8 漏洞数:6 | 一个二逼,2到家了的小白。)
-
2012-12-29 19:30 |
dyun ( 普通白帽子 | Rank:102 漏洞数:15 | [code][/code])
-
2012-12-29 19:52 |
心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)
-
2012-12-29 20:41 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
flash xss可以绕过所有浏览器,刚好有个tencent的。。
-
2012-12-29 21:29 |
心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)
@蟋蟀哥哥 :) 说不定你手上的,已经被我报了,腾讯还未修复而已,哈。 这里的绕过,只是为了尽可能的增加一些鸡肋XSS的适用性。
-
2012-12-29 22:31 |
Royal. ( 路人 | Rank:27 漏洞数:8 )
-
2012-12-30 02:26 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
-
2012-12-30 08:43 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
@蟋蟀哥哥 二货,有东西赶紧报,小心被截胡的,我就犯二了一次,拍拍的XSS消息走漏了,同一天有三个人同时提交我那个XSS。。我差点抑郁了。。
-
2012-12-30 09:30 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2012-12-30 09:31 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2012-12-30 12:43 |
Errorera ( 普通白帽子 | Rank:112 漏洞数:21 | 我们应该在犯错误的情况下学习!)
@鬼魅羊羔 @鬼魅羊羔 是拍拍商户后台的编辑器img那里?
-
2013-01-30 11:28 |
Kaier ( 路人 | Rank:11 漏洞数:1 )
-
2013-08-06 13:53 |
1428666 ( 路人 | Rank:1 漏洞数:2 | script kid)
用手机百度搜索这边文章,经过转码后,您的alert(1)弹窗了,具体位置在百度分享那里。这算不算跨站?
-
2013-08-07 10:07 |
lxj616 ( 普通白帽子 | Rank:438 漏洞数:90 | <hohoho>)
-
2013-08-07 10:10 |
lxj616 ( 普通白帽子 | Rank:438 漏洞数:90 | <hohoho>)
@lxj616 http://wap.baidu.com/ssid=0/from=0/bd_page_type=1/uid=FDC1D3C95923C76664C364E1B8CB455B/baiduid=562387BF09D50D6B87C2740BCFD9B389/pu=sz%40224_220%2Cta%40middle____%2Cusm%400/w=0_10_%E9%82%A3%E4%BA%9B%E5%B9%B4%E6%88%91%E4%BB%AC%E4%B8%80%E8%B5%B7%E5%AD%A6XSS+-+17/t=wap/l=0/tc?ref=www_colorful&lid=5455767530950146704&order=2&vit=osres&tj=www_normal_2_0_10&sec=31778&di=441fcb453e4fcd5d&bdenc=1&nsrc=E-zV0QEptyoA_yixCFOxXnANedT62v3IEQGG_zdL0S3bo93saPOaUbBcVzTg2Sm5FEb7rXOEvBsFwXS707Uk8xN2<P>1. 其实就是个普通的XSS点,uin参数没有对任何字符进行过滤。<BR></P>http://bangbang.qq.com/php/login?game=roco&uin="><img src=1 onerror=alert(1)>&world=5&roleid=44583443&level=8&role=%2<BR><P>2. 正是由于这个点什么都没过滤,浏览器自身的防御机制也最好发挥作用,瞧瞧,chrome拦截了。。</P>转义了?没有重现上述弹窗,请帖地址?
-
2013-08-08 23:33 |
1428666 ( 路人 | Rank:1 漏洞数:2 | script kid)
就是这篇文章,用手机查看的,电脑访问wap我试过无效,就是用手机看,就会弹出来。
-
2013-08-08 23:35 |
1428666 ( 路人 | Rank:1 漏洞数:2 | script kid)
@lxj616 就是这篇文章,用手机查看的,电脑访问wap我试过无效,就是用手机看,就会弹出来。
