漏洞追踪:最新IE UXSS漏洞技术分析

最近David Leo在Full Disclosure上爆出了一个ie的 uxss 漏洞,可以绕过ie的同源策略。FreeBuf也有相关的报道(点我查看)。本文简要分析一下这个漏洞的原理。

攻击过程

<iframe src="redirect.php"></iframe>
<iframe src="https://www.google.com/images/srpr/logo11w.png"></iframe>
<script>
    top[0].eval('_=top[1];alert();_.location="javascript:alert(document.domain)"');
</script>

poc 中第一个 iframe 利用一个302跳转,跳转到目标域,第二个 iframe 也加载了目标域的一个资源,和两个资源可以是不同的资源,当然跟Content-Type也没有关系。

上述 poc 在浏览器中的渲染过程大概如下:

1、浏览器渲染第一个 iframe,并加载 redirect.php 的资源;
2、浏览器渲染第二个 iframe,并加载对应的资源;
3、浏览器在第一个 iframe 上执行 eval 中的 js 脚本,分为一下几个步骤:
    a.将第一个 iframe 赋值给一个变量
    b.弹出一个alert 框
    c.用户关闭 alert框
    d.通过给 location 赋值的方式,在目标域上执行 payload
4、payload 在第一个 iframe 所在的域中执行,也就是目标域。

漏洞真相

貌似漏洞的关键在那个 alert 弹窗,由于 js 是单线程运行的,所有的弹窗(alert, prompt, and confirm)还有异步函数都会阻断浏览器进程,但是,这块的逻辑根据浏览器的不同,实现也有所不同。来看看上面的 POC 在不同浏览器上的渲染时间图:

FireFox

当 alert框弹出的时候,firefox 会继续处理网络请求,当第一个 iframe 跳转,并且加载了目标域的资源之后,alert 弹窗将会被自动关闭,js 脚本停止执行,所以,后续payload 代码不会执行。

Chrome

当alert 弹窗弹出的时候,所有网络请求都终止了,所有后续 payload 中的 js 还是在原有的域上执行的。

IE

当 alert 弹窗弹出的时候,IE 会继续处理网络请求,当第一个 iframe 跳转之后,目标域的资源加载完成之后,用户关闭弹窗,payload 后续的代码是在目标域上执行的。

本质原因

当第一个 iframe 跳转之前,payload 中的 js 都是在原有的域上执行的,这不会绕过 SOP,然而,当第一个 iframe 跳转之后,IE 会转换相关的域。所以,之前 payload 中的 js 脚本的域切换到目标域了,而不是原本的域,所以,就可以在目标域上执行任意代码。注意,这里第二个 iframe 也是必须的。

利用成本&&其他

根据现有的 payload,貌似整个利用过程需要用户参与,事实上并非如此,看如下 payload:

<iframe src="redirect.php"></iframe>
<iframe src="https://www.google.com/images/srpr/logo11w.png"></iframe>
<script>
    top[0].eval('_=top[1];with(new XMLHttpRequest)open("get","sleep.php",false),send();_.location="javascript:alert(document.domain)"');
</script>

alert 弹窗的目的是阻塞浏览器进程,上面 payload 用一个异步请求来达到同样的效果。

影响范围

目前 win7-win8.1上面的 ie10-ie11都受影响。

建议普通用户先切换到其他浏览器吧。

ref:

Simplified PoC

PoC without user interaction

[参考来源innerht.ml,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-02-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏DeveWork

提升用户体验,微信小程序“授权失败”场景的优雅处理

微信小程序中提供了相关API 让开发者能获取到微信用户的相关信息,在首次去获取的时候会展示一个用户是否同意授权的对话框。Jeff 发现有不少线上的小程序都没有处...

3099
来自专栏代码小睿

Atom 备份神器 —— Sync Settings

  当 Atom 的扩展越装越多,配置也越来越偏离了系统默认设置时,一旦电脑重装后需要复原开发环境,这将是一件比较头疼的事,但今天发现一个扩展,可以解决这一问题...

29410
来自专栏编程之旅

iOS开发——解析崩溃日志

在实际的开发过程中,作为开发者的我们常常会碰到一种场景,那就是真机调试时崩溃了,而有时又不能在Xcode中打印出崩溃信息,那么这时候我们就必须要获取到崩溃原因,...

1993
来自专栏Youngxj

Wordpress入门建站教程

2K5
来自专栏一只程序汪的自我修养

自动同步git repository脚本

1943
来自专栏吾爱乐享

php学习之html标签-超链接属性(四)

2034
来自专栏乐百川的学习频道

Visual Studio Code介绍

应该有很多人都知道Atom编辑器吧,它是由Github开发的一个跨平台的编辑器。它使用了跨平台的Electron,用前端技术编写图形界面。一开始我也推荐过这个编...

2915
来自专栏地方网络工作室的专栏

Vue2+VueRouter2+Webpack+Axios 构建项目实战2017重制版(九)再把内容页面渲染出来

Vue2+VueRouter2+Webpack+Axios 构建项目实战2017重制版(九)再把内容页面渲染出来 前情回顾 在上一篇博文《Vue2+VueRou...

22410
来自专栏BeJavaGod

创建线程的几种方式

说道线程,肯定会想到使用 java.lang.Thread.java这个类 那么创建线程也主要有2种方式 第一种方式: ? 然后在调用处,执行start方法即可...

3424
来自专栏BIT泽清

【iOS 开发】教你利用企业级开发者把你无法上架到App Store的北京赛车app

【iOS 开发】教你利用企业级开发者把你无法上架到App Store的北京赛车app

80510

扫码关注云+社区

领取腾讯云代金券