QQ邮箱ios版存储型XSS漏洞

问题出现在QQ邮箱ios版附件的XSS防御上。

起初是测试下面的vector时发现可以执行自定义的JavaScript：

<body> ｡frame onload=confirm(/kcf/)&gt; <img src=x:x onerror="innerHTML=previousSibling.nodeValue.replace('｡','<')"> </body>

想当然的就以为是QQ邮箱的JS sandbox被我bypass了。不过经过后面几次加试发现是因为image tag前方的特殊字符［｡］导致后面的xss vector没有被拦截。

※对于［｡］的可替代性没有做太多的测试。粗略的测试了一下应该是数字字母和一般的特殊符号结束后的unicode区域。

将下面的vector保存成test.htm并发送给受害者。

○<img src=x onerror="prompt(/pwned/)">

受害者预览附件时会遭受XSS攻击（如下图）

该产品有很多诡异的表现，不太好说要怎么修复。

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-03-17 11:11

厂商回复：

非常感谢您的报告。该问题已经确认并已着手处理。如果您有任何的疑问，欢迎反馈，我们会有专人跟进处理。

最新状态：

暂无

1. 2016-03-17 09:57 | he1renyagao ( 普通白帽子 | Rank:235 漏洞数:31 | 是金子总会发光，在还未发光之前，先磨磨)

   1

   牛逼真不是吹的

   1# 回复此人

2. 2016-03-17 10:05 | Aasron ( 普通白帽子 | Rank:905 漏洞数:163 | raw_input("你知道我要输入什么？"))

   1

   6

   2# 回复此人

3. 2016-03-17 10:22 | 晓庄 ( 路人 | Rank:29 漏洞数:7 | Make money.)

   1

   火车不是推的

   3# 回复此人

4. 2016-03-17 10:51 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

   1

   握草。。6666

   4# 回复此人

5. 2016-03-17 13:05 | zmx ( 普通白帽子 | Rank:164 漏洞数:43 | wooyun)

   1

   是APP？

   5# 回复此人

6. 2016-03-17 14:04 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

   1

   我信洞主！

   6# 回复此人

7. 2016-03-17 14:08 | Aasron ( 普通白帽子 | Rank:905 漏洞数:163 | raw_input("你知道我要输入什么？"))

   1

   @px1624 我信px得永生

   7# 回复此人

8. 2016-03-17 20:01 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

   1

   @zmx 嗯 是app

   8# 回复此人

9. 2016-03-17 20:26 | 香草 ( 普通白帽子 | Rank:103 漏洞数:15 | javascript,xss,jsp、aspx)

   1

   我信

   9# 回复此人

10. 2016-03-20 13:12 | 陆由乙 ( 普通白帽子 | Rank:620 漏洞数:137 | 我是突突兔！)

    1

    信

    10# 回复此人

11. 2016-03-20 21:40 | zhchbin ( 普通白帽子 | Rank:173 漏洞数:33 )

    1

    M神，这个是fuzz出来的？好6！！

    11# 回复此人

12. 2016-03-20 22:13 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

    1

    @zhchbin 这个不是fuzz出来的，但和测试方法关系大一些。

    12# 回复此人

13. 2016-03-20 23:02 | annt ( 路人 | Rank:2 漏洞数:1 | 无)

    1

    @px1624 0.0 你也看洞主直播么。。。

    13# 回复此人

14. 2016-03-21 10:09 | SH0X8001 ( 路人 | Rank:25 漏洞数:6 | 你猜)

    1

    牛

    14# 回复此人

15. 2016-04-13 17:58 | Mazing ( 路人 | Rank:27 漏洞数:7 )

    1

    啊。我什么时候才能摆脱见框就插的地步啊。

    15# 回复此人

16. 2016-06-01 17:09 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    0

    没试试web或者m端？还是只有ios可以？

    16# 回复此人

17. 2016-06-02 02:33 | 随随意意 ( 普通白帽子 | Rank:175 漏洞数:36 )

    0

    以前提交过。 亲，问题经过仔细研究，得出以下结论，首先点开html文件会下载到手机本地，然后访问该文件，属于正常功能，且没有作用域，所以没有危害，故不通过审核，望见谅，再接再厉，与君共勉 14年乌云回复 您好，无危害，暂不处理。 14年tsrc回复 。。。。。。。

    17# 回复此人

18. 2016-06-02 10:54 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

    0

    @随随意意 哈哈哈。。。真的？来个链接

    18# 回复此人

19. 2016-06-03 20:11 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

    0

    @px1624 测试结果是只有ios可以。 报告里没有提到，顺便在这里补充一下。 测试附件的编码是sjis+tag前面的字符也是日文的句号。 如果附件的编码是utf-8,上述的测试向量是不会触发的。

    19# 回复此人

20. 2016-06-03 20:12 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

    0

    @随随意意 看截图可以看到js被执行的域名是什么。

    20# 回复此人

21. 2016-06-03 20:44 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    0

    @mramydnei 。。。把各个国家的语言编码都测一遍

    21# 回复此人

22. 2016-06-03 21:47 | 数据流 ( 普通白帽子 | Rank:817 漏洞数:100 | 没关系啊，我们还有音乐)

    0

    @随随意意 睁大你眼睛看看截图里是哪个域的！

    22# 回复此人

23. 2016-06-04 00:27 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    0

    @随随意意 ...这是有效域的~

    23# 回复此人

24. 2016-06-05 14:20 | 随随意意 ( 普通白帽子 | Rank:175 漏洞数:36 )

    0

    @mramydnei @数据流 @px1624 没仔细看是有效域的~，只注意到了位置是一样的。。。

    24# 回复此人

25. 2016-06-15 23:09 | 欧尼酱 ( 路人 | Rank:15 漏洞数:7 | 技术马马虎虎)

    0

    6666666

    25# 回复此人