Mögliche XSS Lücke

scbawik · 22 Juli 2015

Hallo,

habe eventuell eine Schwachstelle gefunden, jedoch noch nicht getestet.

Die Lücke betrifft das Empfehlungen-Widget rechts unten.
Der Titel wird nicht escaped.
Aufgefallen ist mir das bei @bodo92 Beitrag:
https://www.html.de/threads/i-in-h4-erlaubt.54767/

HTML Tags gehen also definitiv durch.
Die Frage ist nur ob <script>s auch ausgeführt werden.

Ich versuch es gerade mal mit dem Beitrag hier.

thecain · 22 Juli 2015

Wird einfach weggelöscht. Hatte den Beitrag von dir eben als "Empfehlung" steht dann einfach nur
"Mögliche XSS Lücke", aber nix im Log

nookie · 23 Juli 2015

Beim Widget (Empfehlungen) wird es wegeschnitten aber anscheinend nicht escaped. Hier im Thread wird der Titel ordnungsgemäß dargestellt und escaped, sowie im Beitrag.

Könntest du es mal so versuchen in deinem Titel:
"><script>alert(0);</script>

Möchte jetzt keinen extra Thread dafür aufmachen.

">
<img src='x' onerror='alert(0)' />

scbawik · 23 Juli 2015

nookie schrieb:
Beim Widget (Empfehlungen) wird es wegeschnitten aber anscheinend nicht escaped. Hier im Thread wird der Titel ordnungsgemäß dargestellt und escaped, sowie ein Beitrag.

Könntest du es mal so versuchen in deinem Titel:
"><script>alert(0);</script>

Möchte jetzt keinen extra Thread dafür aufmachen.

Hatte gestern auch noch eine Anpassung gemacht (base64 String als src). Leider aktualisiert das AddThis-Widget nicht mehr und hat noch den Stand von gestern Nachmittag. Deshalb bringt es auch jetzt nichts den Titel noch mal zu ändern. Ich weiß aber was du meinst, das Attribut scheint auch nicht escaped zu werden.

Was auch noch klappen könnte:

HTML:

<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk7PC9zY3JpcHQ+"></iframe>

nookie · 23 Juli 2015

Bin mir zu 99,9% eigentlich sicher, das da eine XSS durch kommt. Man muss auch sicher nicht einen base64 String als src haben, sollte auch so klappen.

In der Third Party Libary swfupload.swf, ist auch eine XSS vorhanden...

scbawik · 23 Juli 2015

nookie schrieb:
Bin mir zu 99,9% eigentlich sicher, das da eine XSS durch kommt. Man muss auch sicher nicht einen base64 String als src haben, sollte auch so klappen.

Ja, denke auch dass man da was anstellen kann.

Naja, das mit dem <iframe> + base64string habe ich mir wegen der Same Origin Policy gedacht und weil die <script> tags offensichtlich nicht ausgeführt werden. Vielleicht wäre das mit einem iFrame anders.

Na auch egal: Problem besteht, sollte gelöst werden.

nookie · 23 Juli 2015

scbawik schrieb:
Ja, denke auch dass man da was anstellen kann.

Naja, das mit dem <iframe> + base64string habe ich mir wegen der Same Origin Policy gedacht und weil die <script> tags offensichtlich nicht ausgeführt werden. Vielleicht wäre das mit einem iFrame anders.

Na auch egal: Problem besteht, sollte gelöst werden.

Hatte grad ein "xss" in meiner Konsole stehen. ;)

<img src='x' onerror='alert(0)'> funktioniert auch. ;)

scbawik · 23 Juli 2015

nookie schrieb:
<img src='x' onerror='alert(0)'> funktioniert auch. ;)

Toll, jetzt lässt sich der Titel nicht mehr bearbeiten. :(
Wenigstens bekomme ich meine eigenen Beiträge nicht vorgeschlagen ;)

nookie · 23 Juli 2015

Aufeinmal steht der Thread jetzt immer bei Empfehlungen und es kommt immer der nervige alert xD.

Bitte, bitte, bitte mach den nervigen alert raus.

bodo92 · 23 Juli 2015

nookie schrieb:
Bitte, bitte, bitte mach den nervigen alert raus.

Und wie ich erschrocken bin

B3nnoX · 23 Juli 2015

Ja, bitte den Alert raus nehmen, ich hab den Thread nur noch auf dem Handy unter Empfehlungen

nookie · 24 Juli 2015

Zum Glück bin ich noch nie auf die Idee gekommen, das Board per Handy zu besuchen.

threadi · 26 Juli 2015

Titeländerung vorgenommen. Original war:

Mögliche XSS Lücke <img src='x' onerror='galert(0)' />

EDIT:
Habe nun auch das Original hier unkenntlich gemacht. Habe festgestellt, dass das onerror-Event auch innerhalb des Beitrags gefeuert wird. Daher steht dort ein "galert" statt "alert".

EDIT 2:
Bin mir nicht mehr sicher wg. o.g. Verdacht. Die Empfehlungen rechts zeigen mir manchmal den Originaltitel noch an. Vermutlich werden diese Daten gecached und nur zeitversetzt aktualisiert. D.h. wir müssten hier nur noch "einen Moment" warten.

admin · 26 Juli 2015

Ich habe die Empfehlungen einmal bis zur Klärung deaktiviert.

nookie · 28 Juli 2015

Will grad nur mal was testen.

"><img src='x' onerror='alert(0)'>
javascript:alert(1);

"><img src='x' onerror='alert(0)'>
javascript:alert(1);

javascript:alert(1);
">
<img src='x' onerror='alert(0)'>

EDIT:

URL:

https://www.html.de/register/validate-field

Vulnerable Parameter:

POST: name="><script>alert(0)</script>

admin · 28 Juli 2015

Teste das bitte nochmal.

nookie · 28 Juli 2015

admin schrieb:
Teste das bitte nochmal.

Jetzt wird alles richtig escaped. Sollte ich im laufe der Zeit noch weitere Lücken finden, melde ich diese natürlich hier.

Mögliche XSS Lücke

scbawik

Senior HTML'ler

thecain

Aktives Mitglied

nookie

I did it all for the nookie

scbawik

Senior HTML'ler

nookie

I did it all for the nookie

scbawik

Senior HTML'ler

nookie

I did it all for the nookie

scbawik

Senior HTML'ler

nookie

I did it all for the nookie

bodo92

Aktives Mitglied

B3nnoX

Aktives Mitglied

nookie

I did it all for the nookie

threadi

Moderator

admin

Administrator

nookie

I did it all for the nookie

admin

Administrator

nookie

I did it all for the nookie

Neueste Beiträge