WooYun.org

好久没看XSS了，前几天无意测试中扰乱了QQ空间日志的过滤器..然后TX也很谨慎，多层过滤的。然后发现SVG标签过滤的不严格.. 就开始猥琐咯...最后还发现一个payload，针对Chrome的，不知道网上有木有..
1.fuzz，找到了一处过滤器扰乱，如图

12345<SVG>"<![CDATA[><image xlink:href="]]>

这个没有深究，请TX安全研究人员找原因吧
经过这次扰乱过滤器，可以发出来一些原本不能发出的标签了，比如<script>,比如<svg>等。
2.之后开始各种构造，但是经过广泛的测试，发现二级过滤器（或者随便叫什么名字），依旧很严格..对标签内的属性和标签的内容进行了严格的控制。
3.然后测试到SVG标签时，发现TX似乎对SVG标签没有那么多的限制，猜想可能是因为此标签是H5，很多属性名和内容标签名很非主流..TX忽视了..
4.然后便开始深入研究SVG标签，经过一段时间的研究。发现SVG如果想跨的话，无非是内嵌SCRIPT，或者BUTTON的auto，还有各种on属性之类，这些标签虽然可以绕过发出来，但都由于属性名太招眼被卡死了。
5.然后研究发现SVG标签有这么一个属性，很好玩。SVG支持动画特效，也就是利用一些标签控制其他标签的属性，进而形成动画，或属性变换。
举个例子：

<svg width="8cm" height="3cm"viewBox="0 0 800 300" xmlns="http://www.w3.org/2000/svg" version="1.1"> 
<rect id="RectElement" x="300" y="100" width="300" height="100" fill="rgb(255,255,0)"> 
<animate attributeName="x" attributeType="XML" begin="0s" dur="9s" fill="freeze" from="300" to="0" />
</rect>
</svg>

上面的animate标签，可以根据一定的变量增量，去动态的改变<rect>的属性x
详情参见：http://www.w3.org/TR/SVG/animate.html
作为一名优秀的白帽子，这种Hiigh爆的东西，是必须要大胆假设，小心求证的。
6.开始大胆假设，或许可以操作一些敏感属性？
7.小心求证
经过查询一些资料，发现之前已经有人有这种想法了..有一些试图改变onmouseover等属性的payload，但是chrome很早版本就修复了。
8.然后不甘心，继续寻找，然后找到了

<svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink">     
<a xlink:href="ForFun" target="_blank"> 
<animate attributeName="xlink:href" begin="mouseover" to="jaVascRiPt:alert('Hello Drizzle')" ></animate> 	  		 
<polygon points="0,0 2000,0 2000,2000 0,2000" style="fill:#FFFFFF; stroke:#000000;stroke-width:1">
</polygon>

大家知道，TX必然会重置xlink:href和target的，但是无所谓，我们也可以重置。
就是通过animate标签，将xlink:href重新改为jaVascRiPt:alert('Hello Drizzle')，然后就妥妥的了。
大概就是这么个过程，不知道这个算不算新的Chrome XSS payload？估计应该有很多人知道这个...SVG的确很有趣，但是属性，内嵌标签也多，不同浏览器有不同的解释。另外FF我在测试的时候，也有些奇妙的东西..回头有空再分享..
最后上大图：

tips:虽然点击才形成攻击，但我比较菜，我不能，但不代表别人挖不出更牛X的，比如2哥他们..
所以建议TX还是别忽略了..