OSChina HTML样式漏洞

HTML元素全覆盖漏洞是一种基于用户点击实现的页面注入漏洞。通过利用某些软件潜在对HTML元素样式过滤不够透彻从而之作出一个透明的占用整个窗口的HTML元素,附加一个link即可诱导用户点击任何位置失效。一般来说HTML元素的样式漏洞要发挥作用需要配合一个XSRF或XSS的漏洞,不过不管是否有XRSF/XSS漏洞,允许制造有潜在安全隐患的HTML元素这种事情是应该被处理的。

以下文章比较一般化,并不针对OSChina这个样式漏洞。至少目前许多论坛和博客系统都潜在这个漏洞:

HTML元素样式漏洞是在允许用户进行自定义HTML元素的时候产生的,常见于各种WYSIWYG(所见即所得)文本编辑/格式化系统。这些系统通过把你的文本转化为格式的HTML实现格式所见即所得,不过也正因此产生了一些漏洞。

所见即所得编辑器返回的是一堆“生的”HTML,使得远程服务器端查找并解析漏洞异常的恶心。简单说,我们要获取某个HTML标签,合里面的属性,把没用的或不安全的扔掉,再筛选属性的值,把非法的扔掉。直白些说,WYIWYG接收端应该处理诸如

<a href="javascript:THIS_IS_SCRIPT" onclick="script();" style="some-style:val;" class="blah" title="bleh" alt="k" notavailable="yes">

,需要扔掉 onclick, notavailable…这些危险或是无用的属性,需要解析 href并过滤掉javascript:,需要检查style问题。(解析复杂度堪比KnProxy)所以有些WYSIWYG编辑器会允许用户自己插入带有style标签的div,服务器不过滤这就很要命了。

还好OSChina在前几个星期把这个问题更正了,DIV不能再带style标签了,是吧。但是这其实也并不透彻。

WYSIWYG编辑器一般会在颜色格式化文本时使用

<span style="color:#ff0000;">

类似的标签进行颜色化,许多时候,服务器端会认为SPAN里面的STYLE基本就是无害的了= =。其实不然,因为有个东西叫作

display:block;

会让 span变成div的!>_<糟糕极了

于是产生了如下的漏洞:

<a href="一些无聊网站"><span style="display:block;position:fixed;top:0;left:0;height:9999px;width:9999px;">&nbsp;</span></a>

任何载入含有这段内容的页面会被一层透明纱布蒙住,不管点击什么都会导致如同点击了连接的效果。当然注意,OSC的href筛查 javascript(这点做得不错)所以这并不是一个联合XSS的机会,不过XSRF什么的貌似有一定的可行性(比如强制登出)。

或许你来到这里就是经过这种途径的,也说不好。也许你会去往一个Phishing(钓鱼)网站,也说不好。

在此提醒各种网络服务作者/运营者:使用一个好的WYSIWYG编辑器固然很美观,不过允许用户随意插入HTML代码的问题,也是大家不得不考虑的隐患。建议各种WYSIWYG编辑器采用BBCode或者Markdown类似的方式排版文字,避免给HTML格式注入留下可乘之机。

(顺便:本站的评论采取全面禁止HTML代码,原因见上)

3 Comments

发表评论

电子邮件地址不会被公开。 必填项已用*标注