暴力美学,全面打垮搜狐邮箱富文本过滤器。
其实类似的问题,之前也发现过一次。是csdn个人博客上,附上传送门:
http://wooyun.org/bugs/wooyun-2013-036870
对于你们后端的过滤逻辑不是很理解,不过事实证明你们犯了和CSDN一样的错误。因为没有心情数你们的循环次数了,所以还是看测试过程吧。
首先测试:
<marquee onstart=confirm(1);//在firefox下有效>
收到邮件后,发现被过滤了:
<marquee><marquee>
不过,如果我们将payload次数加大到一定程度,比如说1.5W次会怎么样呢?
that's it!不知道你们的Filter具体写了多少行,不过估计要全面重写了。
回到刚才的话题,说半天还整一个ff only的payload?其实适当的mix一下就能蹦出来我们
喜欢的。
<script>alert(1)</script>
这部分我就上图,不上代码了,因为太长。
相关截图:
修复方案:
还是重新写个Filter吧。纸包不住火,再怎么http only,csrf token也没啥用。有了js读邮件,发邮件so ez。