这篇文章不错,转自 http://www.91ri.org/8698.html 0×00 起因 因可能导致一些影响,所以文章不提该邮件系统的名称。该邮件系统是众多高校,教育机构使用的邮件系统,去年有个小弟问我能否入侵老师的邮箱,测试了下于是便有了这篇文章,文章仅供技术研究,若用于非法手段,本人概不负责。 0×01挖掘思路 (因为是一年前的事情 当时未截图,凭回忆写,图片没有,但是保证价值一分未少v^v。渗透是思路,大家如果觉得这篇文章有价值可以多看几遍。) 1 lusiyu@ubuntu:~$ telnet xxx.edu.cn 110 2 Trying 202.116.xx.xx... 3 Connected to xxx.edu.cn. 4 Escape character is '^]'. 5 +OK Welcome to coremail Mail Pop3 Server (gdufss[f38963dfe10fa8653143525dfb027a3es]) 可得知邮箱系统采用的是xxx mail,初步看了下,如果能找到一个XSS或者有意义的CSRF 入侵邮箱 考试满分便不再是梦想。 重点找找XSS,用小弟的账号登陆上去,发现可以添加图片标签及超链接标签,尝试源代码编辑,发送邮件给小弟账号自己。 内容为: 1 请点击 2 <iframe/onload=alert(1)> 收到后查看内容 发现a标签 中javascript被过滤 iframe标签 onload属性被过滤 分别突破后得到0day两个 0×02 0day 0day1: 将 1 base64编码 得到 1 PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4= 源代码编辑输入 1 aa 发送邮件,接收后点击,成功XSS。 0day2: 源代码编辑 插入 1 <iframe/onddd=alert(1)> 依旧发现onddd标签被过滤 这说明服务端过滤是基于黑名单的,就是on开头的属性都给PASS掉,估计因为很多可以执行JS的标签都是on开头,所以程序员这么想。 那就找一个不是以on开头的 又可以执行JS的iframe属性。 https://developer.mozilla.org/zh-CN/docs/HTML/HTML5 中找到一个srcdoc属性 发送邮件 1 登登 成功XSS収邮件者 自己工作忙 没时间继续测试了 跟小弟讲了下思路 恐吓下非法入侵他人邮箱坐牢等,最后他也没去做坏事v^v 0×03思路总结 包括但不限于xxx mail这样的黑盒闭源系统 挖掘XSS时,我们考虑这样挖掘: 1.它支持什么标签 假如允许插入图片 超链接 那我们便知道 这些标签及属性是支持的,然后慢慢思考图片方法 比如url属性值可否设成javascript:vbsrcipt 2.是否被过滤 如果被过滤 我们便测试下是黑名单还是白名单过滤。 比如上文的过滤on开头的属性,我们便可以用个on开头但不存在的属性 onddd来看看究竟是白名单还是黑名单过滤进而突破。 以上讲的是邮箱正文的XSS 其次还可以考虑附件名 在LINUX在附件名给成XSS语句测测?还有邮件签名档等等。 用户一切输入都是有害的,一切你能控制并在对方接收邮箱的时候展示的数据,都值得测测。 0X04黑盒系统如何防御 该mail的官方应该用白名单来限制允许的标签,如只允许某些标签,至于属性应该写好正则, 比如超链接src属性用正则限制为正常URL形式。 0×05附送一个新型的XSS防御方案 XSS的防御相信是很多程序员的痛,说容易些 过滤了尖括号等就行了, 但写代码或新人加入 总有疏忽的时候 毕竟业务第一 赶着上线时或许就没时间审计代码安全性了 那么 有没有很懒但很有用的方法来阻止XSS? 让程序员可以专注于业务开发? 这个方法针对的是反射型XSS(包括DOM XSS),或GET型导致的存储型XSS。 POST 导致的存储型XSS 我暂未想到便捷防御方法,如你有请联系我,欢迎赐教。 我们写一个JS 1 每个页面都嵌入这个JS便可以有效防止反射型XSS(包括DOM XSS),或GET型导致的存储型XSS。如被绕过可再更改此JS 慢慢完善。具体根据业务情况而定。 这样 程序员便可以专注于业务 做安全的防御XSS 也轻松了一大半。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。