WTForm的URLXSS谈开源组件的安全性

作者: 分类: 网络安全 时间: 2016-9-2 23:01 评论: 3条评论 浏览: 1774人看过 标签: xss WTForm

    开源组件是我们大家平时开发的时候必不可少的工具,所谓『不要重复造轮子』的原因也是因为,大量封装好的组件我们在开发中可以直接调用,减少了重复开发的工作量。 开源组件和开源程序也有一些区别,开源组件面向的使用者是开发者,而开源程序就可以直接面向用户。开源组件,如JavaScript里的uploadify,php里的PHPExcel等;开源程序,如php写的wordpress、joomla,node.js写的ghost等。 就安全而言,毋庸置疑,开源组件的漏洞影响面远比开源软件要大。但大量开源组件的漏洞却很少出现在我们眼中,我总结了几条原因:

  1. 开源程序的漏洞具有通用性,很多可以通过一个通用的poc来测试全网,更具『商业价值』;而开源组件由于开发者使用方法不同,导致测试方法不统一,利用门槛也相对较高
  2. 大众更熟悉开源软件,如wordpress,而很少有人知道wordpress内部使用了哪些开源组件。相应的,当出现漏洞的时候人们也只会认为这个漏洞是wordpress的漏洞。
  3. 惯性思维让人们认为:『库』里应该不会有漏洞...

阅读全文>>

知乎某处XSS+刷粉超详细漏洞技术分析

作者: 分类: web前端 时间: 2016-4-17 15:13 评论: 8条评论 浏览: 4151人看过 标签: xss CSRF漏洞 知乎

我觉得十分经典的一个漏洞,和大家分享一下~

好久没法前端漏洞分析了,这次来一个。

老问题导致的XSS漏洞

首先看一个XSS漏洞,这个点是老问题了, http://www.wooyun.org/bugs/wooyun-2016-0171240
知乎按照洞主提供的方法进行修复了,但明显是不行的。我们看到 https://link.zhihu.com/?target=http://www.baidu.com 这个链接的源码:

14566414207565.jpg

将输入的信息传入URI参数,解码以后赋值与location.href。明显可以利用JavaScript:伪协议执行js代码。

如下: https://link.zhihu.com/?target=javascript:alert(1)

14566415103785.jpg


如何利用这个漏洞,有如下办法:

  1. 获取用户Cookie
  2. 刷粉、蠕虫等

但经过分析,这两种利用办法都无法直接达到。首先,因为知乎重要cookie加了httponly,所以打不到用户cookie;另外,因为知乎的主站是www.zhihu.com,而xss处于子域l...

阅读全文>>

Wordpress < 4.1.2 存储型XSS分析与稳定POC

作者: 分类: web前端 时间: 2015-4-27 22:59 评论: 9条评论 浏览: 13404人看过 标签: 富文本 xss

    Wordpress这个XSS实际上是很好用的,匿名用户即可发表并触发,这里给出简单的分析与稳定的好触发的POC。

    其实漏洞的作者已经在文章(https://cedricvb.be/post/wordpress-stored-xss-vulnerability-4-1-2/)里说明了,但文章给的Payload不知道为何在我的测试wp中不能触发。

    这个漏洞的原理很有意思,由MYSQL的一个特性导致,当我们将一个4字节的UTF8字符插入mysql时,mysql将会视之为utf8mb4编码,当将utf8mb4编码的字符插入到UTF8编码的列中,在非strict mode下就会造成一个截断。

    截断的话,就能绕过很多富文本过滤器了。比如,插入两个评论“<img src=1”,和“onerror=alert(1)// ”,这二者都不会触发某些富文本过滤器(因为前者并不含有白名单外的属性,后者并不是一个标签),但两个评论如果存在于同一个...

阅读全文>>

python富文本XSS过滤器

作者: 分类: Python 时间: 2015-4-8 21:37 评论: 8条评论 浏览: 6207人看过 标签: python 富文本 xss

    前言:那天我正在开发网站最关键的部分——XSS过滤器,女神突然来电话说:“那东西好难呀,别开发了,来我家玩吧!”。我“啪”地一下把电话挂了,想让我的网站出XSS漏洞,没门~

    python做web开发当今已经逐渐成为主流之一,但相关的一些第三方模块和库还没有php和node.js多。

    比如XSS过滤组件,PHP下有著名的“HTML Purifier”(http://htmlpurifier.org/ ),还有非著名过滤组件“XssHtml”(http://phith0n.github.io/XssHtml ),当然后者是我自己开发的。

    python的pip下也可以安装一款名为“html-purifier”的库,但此purifier和php下的就大不相同了。这个库负责将html中,白名单以外的标签和属性过滤掉。

    注意,他并不是过滤XSS的,只是过滤不在白...

阅读全文>>

RoundCube Webmail邮件正文存储型XSS(CVE-2015-1433)

作者: 分类: 网络安全 时间: 2015-2-5 15:32 评论: 0条评论 浏览: 2820人看过 标签: 富文本 xss

    这是前段时间发现的一个漏洞,可能又让一些人深恶痛绝了,见谅。自从当年自己那个gnuboard getshell被晾了半年捂烂了以后,感觉国外的洞还是提交了吧,捂在手里也没用,还能维护世界和平。

    中间有个搞笑的事,之前想去申请个CVE证书,结果用我国内的企业邮箱给他们企业邮箱发邮件,虽然显示发成功了,但一直没得到回应。后来想想,gmail被封了大概就是这个状况,估计邮件这辈子也到不了那里了,嘿。

    roundcube webmail官网:http://roundcube.net/,下载最新版本。

    /program/lib/Roundcube/rcube_washtml.php ,这文件实际上是一个富文本过滤类class rcube_washtml。roundcube就是利用这个类对富文本进行过滤。

    先大概看一下,我知道了这个类的特点:
1.用DOM对换入的HTML做解析,取出所有...

阅读全文>>

QQ某业务主站DOM XSS挖掘与分析(绕过WAF)

作者: 分类: 网络安全 时间: 2014-12-27 23:43 评论: 4条评论 浏览: 3208人看过 标签: xss DOMXSS

    腾讯已经修复了,所以我发出来,贵在挖掘与分析过程。

    可盗取skey与uin,全浏览器通用不会被拦截。

    挖掘flashxss的时候偶然发现的,反编译的时候发现这样的URL:

QQ秀DOM XSS挖掘与分析97.png

    show.qq.com,属于QQ秀主站业务。

    来到show.html,看到如下代码:

var aNUrl= { "M":"http://imgcache.qq.com/qqshow_v3/htdocs/inc/main.html", "T":"http://imgcache.qq.com/qqshow_v3/htdocs/inc/header.html", "L":"http://imgcache.qq.com/qqshow_v3/htdocs/inc/sidebar.html" };
var sUrl = QSFL.excore.getURLParam...

阅读全文>>

利用location来变形我们的XSS Payload

作者: 分类: 网络安全 时间: 2014-7-1 6:52 评论: 3条评论 浏览: 5924人看过 标签: xss 绕过过滤

    这篇文章是前段时间从某群中学到的姿势,我分享出来~

    在XSS的时候,有时候有的过滤器很变态,会过滤很多特殊符号和关键词,比如&、(、)、#、'、",特别是&和括号,少了的话payload很难构造出来。

    举个例子吧,比如过滤器过滤了array("(",")","&","\\","<",">","'"),而没有过滤双引号,输出点在<img src="xxxx">,xxxx这里,怎么构造一个可以利用的XSS Payload?

    过滤代码如下:

<?php
header('X-XSS-Protection: 0');
$xss = isset($_GET['xss'])?$_GET['xss']:'';
$xss = str_replace(array("(",")","&","\\","<...

阅读全文>>

新浪某站CRLF Injection导致的安全问题

作者: 分类: 网络安全 时间: 2014-6-30 6:45 评论: 2条评论 浏览: 3089人看过 标签: xss CRLF HRS

CRLF Injection很少遇见,这次被我逮住了。我看zone中(http://zone.wooyun.org/content/13323)还有一些同学对于这个漏洞不甚了解,甚至分不清它与CSRF,我详细说一下吧。

CRLF”回车 换行”(\r\n)的简称。在HTTP协议中,HTTP HeaderHTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。所以,一旦我们能够控制HTTP 消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码,所以CRLF Injection又叫HTTP Response Splitting,简称HRS

HRS是比XSS危害更大的安全问题,具体是为什么,我们往下看。

对于HRS最简单的利用方式是注入两个\r\n,之后在写入XSS代码,来构造一个xss

举个例子,一般网站会在HTTP头中用Location: http://bai...

阅读全文>>

XssHtml – 基于白名单的富文本XSS过滤类

作者: 分类: 网络安全 时间: 2014-6-26 23:35 评论: 4条评论 浏览: 3837人看过 标签: xss fliter

    啦啦啦,去了北京参加荣耀6的发布会,真心不错呀这款手机,在这里无耻地推荐一下。与会的同学都获得了一枚荣耀6,说说我的感受吧:CPU真心给力,跑分很高;价格合理,2000是荣耀一贯的高性价比;特权给力,寝室的Chinanet可以免费用了;相机真不错,全景拍照,把整个鸟巢拍得一清二楚,抓拍也很给力,黑屏状态下按两次音量下就能在0.6秒完成一次拍摄;触屏很舒服,滑动没有一丝卡顿。

    好了,去北京之前freebuf上投了一篇文章,发到博客里吧。

    关于富文本XSS,我在之前的一篇文章里(http://www.freebuf.com/articles/web/30201.html)已经比较详细地说明了一些开源应用使用的XSS Filter以及绕过方法。之前我也总结了一些filter的缺点,利用白名单机制完成了一个XSS Filter类,希望能更大程度地避免富文本XSS的产生。

    总结一下现存的一些XSS Filter的缺点,可以归纳成以下几条...

阅读全文>>

浅析白盒安全审计中的XSS Fliter

作者: 分类: 网络安全 时间: 2014-4-2 17:17 评论: 0条评论 浏览: 4436人看过 标签: xss 绕过过滤

    好久没写总结文。一转眼就到了4月,离可以游泳的季节又近了一步,心里还有点小激动。

    这段时间也是学习了一些新东西,包括富文本的XSS,还有我正在看的node.js。我想还是要跟上时代的潮流,东西总在更新,如果还固守陈旧的观念和古老的事物,就很容易被淘汰。php已至暮年,更新换代也是迟早的事情,我觉得node已成为大趋势,如果前后端都能用javascript编写的话,不光是数据传输方面方便了很多,调试起来也有php没法比拟的优势。但可能在功能方面node还欠缺不少,毕竟是最近几年才出来的产物,各种平台兼容性、第三方模块、开发难度都有待加强。

    前段时间发在freebuf上的一篇xss文章,在我博客里也发一下。文章是我自己分析的一些cms实例,并一个一个提取出来测试,然后又在cms环境下测试,最后得出的结论。希望能提供给大家以后审计的一点思路。

    pdf版本:
    链接: http://pan.baidu.com/s/1c027yhU 密码: q17t
    

    doc版本:
    链接: http://pan.baidu.com/s/1o6z5lB8 密码: 5pu5

阅读全文>>

Top ↑ sitemap More