WooYun.org

最新版：

为什么说有趣？且看我慢慢道来。
0x00、因为之前二哥给报过的漏洞，window.open()跳转到扩展域已经被修复了。那么二哥当时是怎么绕过的呢？
可见： WooYun: 搜狗浏览器远程命令执行之四
在复查的过程中，我惊讶的发现，window.open()+location.href，又可以从*.sogou.com跳转到特权域（ se-extension://）不知道是不是临时工干的？还是代码回滚了？这是其一。也就是说，哪怕你修复了通过a.click()去禁止跳转，已经防御失效了。
0x01、其二，搜狗对前面二哥报过的 WooYun: 搜狗浏览器远程命令执行之四 漏洞进行了修复，目前没有办法通过该案例的xss进行攻击，但这显然不是漏洞的关键点。翻阅了搜狗历史漏洞记录，发现有一个xss依然可以被我利用。就是这个：http://wap.gouwu.sogou.com/search#shop/query=1"});alert(1);//

但是这个xss并不是很好用，为什么这么说？后面我会详细讲。
0x02、其三，漏洞的关键点， WooYun: 搜狗浏览器远程命令执行之四 这里的插件xss漏洞你们依然没有修复，依然只是对(进行了替换。
0x03、其四，你们对window.external.extension("installExtFromSidebarBox", "com.qq.AccountProtect", "1.0.6", "test", '-1', 'undefined', 'undefined', "function(){console.log(arguments);}"); 这种类型的静默安装插件接口进行了限制，但是因为另外一处的xss导致命令执行。
0x04、其五，之前给你们报过的： WooYun: 搜狗浏览器设计缺陷导致可在任意域构造xss漏洞 发现过滤方式存在问题，具体可看：

main()函数中，只对之前的<script>进行了转义，替换为了实体，我们还可以采用<iframe src=javascript:alert()>这种形式进行调用js，调用成功，执行下面方法，安装下面的看图插件，实现下载木马到本地，重启之后运行。
window.open("se://sidebarextmanager/index.html").external.extension("installExtFromSidebarBox", "com.sogou.cxj009.PicViewer", "1.0.0", "邪恶插件", '-1', 'undefined', 'undefined', "function(){}");
结合上面的5点，我们不难构造出利用的代码。见测试代码。
document.title 需要设置setInterval()进行轮训，因为上面指出的xss会覆盖掉标题，通过该办法可以设置成功。具体可以查看漏洞证明的视频结果。