专栏首页FreeBufKindEditor开源富文本编辑框架XSS漏洞

KindEditor开源富文本编辑框架XSS漏洞

0×01 前言

KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框。

KindEditor 使用 JavaScript 编写,可以无缝地与 Java、.NET、PHP、ASP等程序集成,比较适合在CMS、商城、论坛、博客、Wiki、电子邮件等互联网应用上使用。

在最近的渗透测试工作中,接触到了KindEditor输入框架,经过几番测试发现代码对XSS的防护还是挺全面的,感觉到底是开源代码,就是不一样,但是总感觉哪里不对,也就边放弃边继续。

最终发现该框架还是存在一个XSS注入的问题,而且由于利用框架的时候都会将用户输入存入数据库,并对其他用户进行展示,进而引发了危害巨大的存储型XSS漏洞。

0×02 测试过程

首先,你得找到一个(女朋友)使用这种框架的网站,通过查看加载的js文件确认是否包含KindEditor框架(外观如下图):

然后开始测试,随意输入一段字符

我们找的示例网站中,在本地对提交的数据进行了编码,但是很明显可以看出是ASCII Hex编码,解码看到明文。

然后尝试输入可以引入标签的尖括号<> (下图中的<br>是客户端自己添加的)

解码后,我们可以看到开发人员在本地对尖括号进行了HTML编码,上burp,直接截取重放,过了客户端编码。

可是当我们输入<script>时,我们看到了返回结果中已经将该位置的内容重置成了test1(也就是用户名)

这也就意味着服务端中的过滤机制进行了正则匹配的过滤,只要<>包含特定内容,就直接替换成一个固定值。

这样我们就不能成功的引入<>标签了,也就很难加入<script>标签,但是该位置的内容也不能结合属性标签进行注入,所以我们还是要想新的办法来先过服务端的过滤机制。

尝试对<>进行编码,但是很不幸的是,进行了编码后,发现返回的内容要么乱码,要么是标签被作为内容直接插入,如下图(如果是标签会被标识为蓝色)。

这就意味着服务端是过了,但是KindEditor对输出的内容进行了转义,使其不能作为标签插入HTML页面中。

接着又尝试输入空标签<>

输入空标签之后,我们看到<script>标签已经被完整返回回来了,但是总感觉开源代码不会这么简单,果然在相关页面上,alert语句并没有被执行,但是在html文档中可以看到<script>已经被成功识别为一个标签了。

分析原因,应该是,在我们的<script>标签插入html文档中的时候,整个页面已经load完成了,所以<script>标签并没有执行。

既然,<script>标签没有被执行,那我们可以通过事件方案来触发进行执行啊,所以开始引入onclick事件,

从返回结果来看,一切都那么完美,感觉就要胜利了,然而当我们将鼠标点上去的时候,所有的幻想都破灭了,弹出一个新标签页,然后什么也没有了,说好的弹窗呢。查看页面

完美的开源代码,将事件处理函数修改了,所以不能成功执行。通过测试其他的事件和使用JavaScript伪协议,都是同样的问题,在on和java之后添加了下划线。到底是开源代码,服了,好吧,该放弃这个女朋友了。

但是总感觉哪里有问题,不该是这样的结局,开始重新整理思路: <>空标签可以帮我们绕过服务端基本的过滤机制,但是新加入的<script>不能被成功执行,事件处理函数又被KindEditor给清洗了,那可不可以试试其他标签,不需要其他通过事件监听来触发的标签呢,还真被我找到了,成功穿过KindEditor的围堵。

终于,看到了我们最喜爱的弹窗,收工。(由于还在于框架作者进行联系,所以这里不方便透漏具体的注入代码)。

0×03 源码分析

为了确定是网站开发人员使用的问题还是KindEditor本身的问题,我们前往官网下载它的源代码进行分析。

整个项目的目录结构如下

打开KindEditor-all.js文件,开始分析。

如果KindEditor本身做了处理,肯定是以关键字filter定义的,全局搜索filter。发现代码中filter相关的参数被_formatHtml函数调用。

找到该函数的定义

从函数定义中我们可以看到KindEditor确实对输入内容进行了相关的过滤,只是在过滤时并未完美处理所有的输入情况。通过分析源代码我们也可以看到,KindEditor确实也没有对我们输入的标签进行过滤,从而引发了XSS注入的问题。

0×04 总结

从KindEditor的官方网站http://kindeditor.net的案例页面我们可以看到国内还是有很多网站使用了相关技术,下面是一些使用这些网站的厂商。

但是之后,对上面提到的网站进行测试,发现其中的一部分网站已经没有在使用相关代码了,但是从KindEditor的github主页上看到还是有很大一部分人关注这一项目,这就证明还是有很多人在使用这一框架。

只要使用就可能会存在这样的存储型的XSS漏洞,至于XSS漏洞的危害,就不需要多说了。

0×05 防范措施

在开发过程中开发人员不能过度依赖第三方库所做的防范,还是需要在内容输出时进行Html编码,或者完善已有的过滤规则,从而杜绝类似的注入攻击。

0×06 感谢

感谢斌爷在整个测试过程中对我前端相关技术的指导,这个女朋友有你一半。

本文分享自微信公众号 - FreeBuf(freebuf),作者:卫士通

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-03-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Chronicle准备倒闭,罪魁祸首真的是Google吗?

    众所周知,Chronicle是Google家的兄弟公司,而这家网络安全初创公司按理来说本应该彻底改变整个安全行业的,但现在却正在走向“倒闭”的边缘。

    FB客服
  • 企业安全建设之路 | 端口扫描(上)

    0×00、业务需求 由于工作关系,最近一年来都奔走在各大安全会议,无论是公开会议,例如:ISC互联网大会、freebuf互联网大会等、还是半公开的会议,例如某S...

    FB客服
  • SpyNote V5.0图形化工具远程管理Android手机教程(附视频)

    前言 本篇文章主要以图文教程和视频演示详细地教你如何快速学会使用SpyNote 5.0图形化工具来穿透内网远程控制Android手机。本教程有一定的杀伤力,请各...

    FB客服
  • 专访Jeff Dean:我们要推动机器学习再上一层楼

    AI 科技评论按:Jeff Dean是谷歌研究院的高级研究员,也是谷歌的人工智能团队谷歌大脑(Google Brain)的负责人。身披华盛顿大学博士、美国工程院...

    AI科技评论
  • 深入理解RunLoop及在开发中的应用

    RunLoop:运行循环,简单的说就是处理线程事件和管理线程的一种机制。当子线程的事件结束时,runloop将会自动休眠,app主线程中的runloop处于一直...

    honey缘木鱼
  • 陈丹琦等16位华人入选谷歌研究学者计划,半数本科毕业于大陆高校,3位清华校友

    4月7日,谷歌研究院公布了2021首届研究学者计划(Research Scholar Program)获奖者名单。

    AI科技评论
  • Javascript 中数据类型那些可能会中招的细节

    Javascript的数据类型对于大家来说一点都不默认,主要基本数据局类型和引用数据类型,都是入门必学的知识点,而且在日常开发中,频繁使用。大家是否都掌握其中的...

    @超人
  • 搜索引擎solr和elasticsearch

    搜索引擎(Search Engine)是指根据一定的策略、运用特定的计算机程序从互联网上搜集信息,在对信息进行组织和处理后,为用户提供检索服务,将用户检索相关的...

    全栈程序员站长
  • 另一种绕过 Android P以上非公开API限制的办法

    去年发布的 Android P上引入了针对非公开API的限制,对开发者来说,这绝对是有史以来最重大的变化之一。前天 Google 发布了 Android Q 的...

    weishu
  • go:linkname的用法

    此处我们只看到函数签名,却看不到函数体,全局搜了一把,发现它的函数体却定义在src/runtime/proc.go中

    暮雨

扫码关注云+社区

领取腾讯云代金券