[公开漏洞]腾讯某界面DOM型跨站（那些容易误用的正则表达式）

腾讯某界面DOM型跨站（那些容易误用的正则表达式） 相关厂商： 腾讯 漏洞作者：香草 提交时间：2014-06-03 11:24 公开时间：2014-07-18 11:24 漏洞类型：xss跨站脚本攻击 危害等级：低 自评Rank：5 漏洞状态： 厂商已经确认 漏洞来源：http://www.wooyun.org Tags标签： xss技巧 Dom+xss 正则表达式 漏洞详情 披露状态：

2014-06-03：细节已通知厂商并且等待厂商处理中
2014-06-03：厂商已经确认，细节仅向厂商公开
2014-06-13：细节向核心白帽子及相关领域专家公开
2014-06-23：细节向普通白帽子公开
2014-07-03：细节向实习白帽子公开
2014-07-18：细节向公众公开

简要描述：

我在看QQ空间的时候看到了一个广告，于是我随手打开看看，由于我习惯型的右键审查元素，于是有了下面的故事……
限制域名的正则表达式缺陷，导致我两次绕过限制，加载任意框架，可欺骗登陆。危害不大，就当补习下正则表达式吧

详细说明：

这是腾讯的广告界面，也就是http://etg.qq.com/ 腾讯易推广

存在缺陷的链接是：

http://etg.qq.com/billboard/minsite/etg.shtml?fu=http%3A%2F%2Fa.paipai.com%2f%26size%3D1024x768%26time%3D0

这是第一次的代码

var fu=$xss(decodeURIComponent($getQuery('fu')),'script'),

      content=document.getElementById('content'); 

  

  if(fu.search(/^http\:\/\/.*\.paipai.com($|(\/[^<>\'\"]*))/) > -1){

   var uin=$getUin(),

    sizes=$getQuery('size',fu).split('x');

if(sizes&&sizes.length==2){

content.style.width=sizes[0]+'px';

content.style.height=sizes[1]+'px';

}

content.src=fu+(uin ? (fu.indexOf('?')>0 ? '&uin=':'?uin=')+uin  :'');

  }else{

  content.src='http://www.paipai.com';

  }

  

   function $getUin(){

    var uin=$getCookie("uin")||$getCookie('uin_cookie')||$getCookie('pt2gguin')

        ||$getCookie('o_cookie')||$getCookie('luin')||$getCookie('buy_uin');

    return uin?parseInt(uin.replace("o",""),10):"";

   }



  function $getQuery(name,url){

var u  = arguments[1] || window.location.search,

reg = new RegExp("(^|&)"+ name +"=([^&]*)(&|$)"),

r = u.substr(u.indexOf("\?")+1).match(reg);

   return r!=null?r[2]:"";

  }

  function $getCookie(name) {

var reg = new RegExp("(^| )" + name + "(?:=([^;]*))?(;|$)"), val = document.cookie.match(reg);

return val ? (val[2] ? unescape(val[2]) : "") : null;

  }

function $xss(str,type){

//空过滤

if(!str){

return str===0 ? "0" : "";

}

switch(type){

case "script":

return str.replace(/[\\"']/g, function(r){

return "\\" + r;

}).replace(/%/g, "\\x25").replace(/\n/g, "\\n").replace(/\r/g, "\\r").replace(/\x01/g, "\\x01");

break;

}

}

存在问题的是这个正则表达式：

fu.search(/^http\:\/\/.*\.paipai.com($|(\/[^<>\'\"]*))/)

开发人员的本意是想要匹配所有的paipai.com的子域，这个正则限制了开头也限制了结尾，本来是很严密的。可是他显然没有注意到.*是可以匹配任意字符的，于是我们可以构造如下链接进行绕过：

http://etg.qq.com/billboard/minsite/etg.shtml?fu=http%3A%2F%2Fwww.baidu.com%2F%3Fa%3D.paipai.com%2f%26size%3D264x160%26time%3D0

//解码后就是

http://etg.qq.com/billboard/minsite/etg.shtml?fu=http://www.baidu.com/?a=.paipai.com/&size=264x160&time=0

可能开发人员也发现了这个问题，正则确实不能这样写，于是几天后这个正则变成了现在这样：

fu.search(/^http\:\/\/[^.]*\.paipai.com($|(\/[^<>\'\"]*))/)

开发人员也觉得匹配.*不妥，于是换成在前面不能出现点号，那么他想，你可能就不能加载其他框架了嘛，因为 baidu.com是需要点的嘛，至少都需要一个点，如果没有点，那肯定就不能是合法的域名了。这个当然是开发人员自己想的，但是他可能忘了，还有个东西叫IP10进制表示法。就是说，http://1032300905/ 也是可以指向http://www.baidu.com/

于是可以构造如下链接绕过限制：

http://etg.qq.com/billboard/minsite/etg.shtml?fu=http%3A%2F%2F1032300905%2F%3Fa%3D.paipai.com%2f%26size%3D1024x768%26time%3D0

//解码后就是,没有出现点号

http://etg.qq.com/billboard/minsite/etg.shtml?fu=http://1032300905/?a=.paipai.com/&size=1024x768&time=0

总结：DOM型跨站，正则表达是第一个要注意的东西，因为这则表达式确实有很多容易误用的地方。

漏洞证明：

加载百度

http://etg.qq.com/billboard/minsite/etg.shtml?fu=http%3A%2F%2F1032300905%2F%3Fa%3D.paipai.com%2f%26size%3D1024x768%26time%3D0

修复方案：

修改正则表达式

版权声明：转载请注明来源 香草@乌云

漏洞回应 厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2014-06-03 15:47

厂商回复：

非常感谢您的报告，问题已着手处理，感谢大家对腾讯业务安全的关注。如果您有任何疑问，欢迎反馈，我们会有专人跟进处理。

最新状态：

暂无

0

版权与免责声明：

凡注明稿件来源的内容均为转载稿或由网友用户注册发布，本网转载出于传递更多信息的目的；如转载稿涉及版权问题，请作者联系我们，同时对于用户评论等信息，本网并不意味着赞同其观点或证实其内容的真实性；

本文地址：https://top.cnzzla.com/artinfo/2522.html