### 简要描述: ThinkSAAS过滤不严导致存储型跨站。可攻击任意用户(包括管理员) ### 详细说明: ThinkSAAS对javascript伪协议进行了过滤,但我们可以利用编码巧妙绕过,导致了以下漏洞的产生。 ### 漏洞证明: 1、涉及版本:thinksaas2.2-beta 2、由于浏览器解析不同,此漏洞的测试环境为Chrome和IE,对Firefox无效。 漏洞一: 3、登录系统,在文章模块发布文章,在文章内容中添加超链接,链接路径为:ja
vascr
ipt:alert(/xss/) [<img src="https://images.seebug.org/upload/201411/27151044694d07c3245190d6a285d20ea0332e0e.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/27151044694d07c3245190d6a285d20ea0332e0e.png) 4、拦截请求,系统会自动添加http协议,将超链接href中的http://去掉 [<img src="https://images.seebug.org/upload/201411/271511193c67758c9703e698396fde0441ffb779.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271511193c67758c9703e698396fde0441ffb779.png) 5、系统管理员或其它用户查看文章并点击链接时,漏洞触发: [<img src="https://images.seebug.org/upload/201411/2715122810feba85556ecd008e5f5d644b475cfe.png" alt="3.png" width="600"...
### 简要描述: ThinkSAAS过滤不严导致存储型跨站。可攻击任意用户(包括管理员) ### 详细说明: ThinkSAAS对javascript伪协议进行了过滤,但我们可以利用编码巧妙绕过,导致了以下漏洞的产生。 ### 漏洞证明: 1、涉及版本:thinksaas2.2-beta 2、由于浏览器解析不同,此漏洞的测试环境为Chrome和IE,对Firefox无效。 漏洞一: 3、登录系统,在文章模块发布文章,在文章内容中添加超链接,链接路径为:ja
vascr
ipt:alert(/xss/) [<img src="https://images.seebug.org/upload/201411/27151044694d07c3245190d6a285d20ea0332e0e.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/27151044694d07c3245190d6a285d20ea0332e0e.png) 4、拦截请求,系统会自动添加http协议,将超链接href中的http://去掉 [<img src="https://images.seebug.org/upload/201411/271511193c67758c9703e698396fde0441ffb779.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271511193c67758c9703e698396fde0441ffb779.png) 5、系统管理员或其它用户查看文章并点击链接时,漏洞触发: [<img src="https://images.seebug.org/upload/201411/2715122810feba85556ecd008e5f5d644b475cfe.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/2715122810feba85556ecd008e5f5d644b475cfe.png) 6、在Chorome环境下查看页面源代码: [<img src="https://images.seebug.org/upload/201411/271513308ae1f4eadf93bb27103ad8d7c12ea674.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271513308ae1f4eadf93bb27103ad8d7c12ea674.png) 伪协议javascript成功执行,修改脚本代码可进行针对性的攻击。为了增大触发概率,我们可以利用标签的style属性将超链接尽可能放大。 漏洞二: 7、同漏洞一原理一样,不过漏洞存在于创建小组处,创建小组,并在小组介绍处添加超链接。链接路径为:ja
vascr
ipt:alert(/xss/) [<img src="https://images.seebug.org/upload/201411/271516251cdded282045c49350ec60826f1ca4f1.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271516251cdded282045c49350ec60826f1ca4f1.png) 8、拦截请求,去掉系统在链接路径中添加的http协议 [<img src="https://images.seebug.org/upload/201411/271517216f9c3853dbefdb4a88572f73331863b5.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271517216f9c3853dbefdb4a88572f73331863b5.png) 9、系统管理员或其它用户查看小组介绍并点击超链接时,漏洞触发: [<img src="https://images.seebug.org/upload/201411/27151811c983be22a2220cff4b7c21d3d9025fb9.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/27151811c983be22a2220cff4b7c21d3d9025fb9.png) 10、在Chrome环境下查看页面源代码: [<img src="https://images.seebug.org/upload/201411/2715183791d65c1717ad35bf6fe3170423faedaa.png" alt="8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/2715183791d65c1717ad35bf6fe3170423faedaa.png)
