漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-048141
漏洞标题:绕过startbbs防御继续盲打管理员(两种方法)
相关厂商:startbbs.com
漏洞作者: 梧桐雨
提交时间:2014-01-07 12:57
修复时间:2014-04-07 12:58
公开时间:2014-04-07 12:58
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-01-07: 细节已通知厂商并且等待厂商处理中
2014-01-11: 厂商已经确认,细节仅向厂商公开
2014-01-14: 细节向第三方安全合作伙伴开放
2014-03-07: 细节向核心白帽子及相关领域专家公开
2014-03-17: 细节向普通白帽子公开
2014-03-27: 细节向实习白帽子公开
2014-04-07: 细节向公众公开
简要描述:
startbbs已经对xss有过滤措施,但是有办法绕过。这里我依然以官方为demo作为测试,因为官方的是最新版。
详细说明:
问题出现在发帖的正文文本框:盲打的概率非常高的。
测试了常规的html代码,发现只剩下img标签,其他的都被过滤了,因此可以在img上能发挥作用的只有on系列的事件了。
测试尝试和之前那样
发布上面的代码,发现过滤成下面这样:
尝试用javascript:伪协议去触发:但是又被过滤成这样:
也就是常规的在敏感字符那加入x 来让事件等功能失效。
到了这一步,暂时没有了头绪。
过了几天之后忽然想到之前新浪邮箱的过滤方式也是如此。
恰当好处,我关注了二哥新浪邮箱xss bypass。
WooYun: 新浪邮箱正文存储型XSS,空字节不仅能上传,还能跨站 (新浪邮箱正文存储型XSS,空字节不仅能上传,还能跨站)
那不如试试\0 空字节看看能否绕过?
发布如下帖子:
<img src=1 o\0n\0error="alert(1)"/>
惊奇的发现成功绕过了官方过滤。植入xsser.me的代码。成功获取了cookie
上面是第一种,危害较大。第二种相对而言危害较小,是通过css的expression全角字符去绕过,这里不需要用到\,因此还需要着重过滤一下。测试poc:(仅ie6有效)
漏洞证明:
都在详细说明里头了。
修复方案:
<img>插入标记里头一定不准出现\,过滤还是用白名单吧,把img的事件统统封杀掉。。。
版权声明:转载请注明来源 梧桐雨@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2014-01-11 22:30
厂商回复:
尽快修复
最新状态:
暂无