产生原因:
JS原生取ELEMENT中HTML内容的方法,会将服务端转义过的单双引号实体编码进行反转。
代码分析:
这里有payload: [align="οnmοuseοver="alert(1)], 那么就从payload开始往回看漏洞是怎么产生的
<textarea name='message' id='e_textarea' class='pt' rows='15' tabindex='2'>[align="onmouseover="alert(1)]</textarea>
回帖之后payload显示如上述所示, 跟进 管理员/版主 编辑帖子时的操作
var editorid = 'e';
var textobj = $(editorid + '_textarea');
这里得到textobj = 'e_textarea'
/static/js/common.js Line8:
function $(id){ return !id? null : document.getElementById(id); }
跟进textobj可以发现 $(textobj) 提出的payload
[align="onmouseover="alert(1)]
进入bbcode2html()
/static/js/bbcode.js Line 95:
str = str.replace(/\[align=([^\[\<]+?)\]/ig, '<div align="$1">');
这里将payload
[align="onmouseover="alert(1)]
转换成
<div align=""onmouseover="alert(1)"></div>
/static/js/editor.js Line 39:
writeEditorContents(isUndefined(initialtext) ? textobj.value : initiatext );
跟进writeEditorContents参数看下
/static/js/editor.js Line 558:
function writeEditorContents(text){
...
# 写操作函数, text被直接写入html文件中
...
}
到此为止外部代码已经被成功插入并保存到新生成的html中
以上就是整个xss形成的原因, 最重要的原因是将textobj.value直接提出来当做插入的内容了
这里就有一个问题 比方说有如下代码
<textarea id=test><img src=x></textarea>
<script>
str = document.getElementById('test').value;
document.write(str);
</script>
这里可以发现写入了一个img标签 尖括号< 和 > 被反转义回<和>了dz的这个xss就是没有处理反转义回来的尖括号造成了这个位置的xss
原文:https://www.seebug.org/vuldb/ssvid-89248
485
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
