V2EX的个人设置中的自定义CSS功能存在安全漏洞

2012-06-08 16:09:25 +08:00
 qichunren
输入其中的内容如下,你们懂的。

</style>
<script>
alert("xss");
</script>
<style>
#Top {
background: #BDBDBD;
}
4993 次点击
所在节点    V2EX
31 条回复
Livid
2012-06-08 17:34:04 +08:00
@gDD 目前已经加入了一些检查。
Livid
2012-06-08 17:38:45 +08:00
@jackmasa 很感谢你的发现。

但是有个地方我还是没有想明白,希望你能解释一下。

用另外一个帐号跨域登录的话,cookie 变了,当前登录用户也变了的情况下,如何能够影响到之前点击链接的用户呢?

当然,用户看到自己的登录名变了确实会感觉比较惊悚。:)
aligo
2012-06-08 17:41:00 +08:00
@Livid 似乎没有影响到之前点击链接的用户
Livid
2012-06-08 17:41:56 +08:00
@aligo 希望如此。

安全方面我不是专家,还请大家多多赐教。:)
1212e
2012-06-08 17:45:00 +08:00
@aligo
@Livid
@gDD

接下来的步骤是画出一个假的登录form来骗取密码?
xlaok
2012-06-08 18:52:04 +08:00
哇哦,很酷,没想到这个居然能被利用。
gDD
2012-06-08 19:07:47 +08:00
@1212e 是的,其实应该直接写<form/>然后submit()修改自定义CSS(往里插入JS),然后就All your XX are belong to us了 xD
1212e
2012-06-08 19:34:42 +08:00
@jackmasa @gDD 哈哈...

所以真正的漏洞是跨域post,而不是自定义CSS吧?囧…学习了…
altchen
2012-06-08 19:45:34 +08:00
呵呵,还想到还有这种方式,受教了



@1212e 应该是两个同时存在的时候就危险,单个倒还好
jackmasa
2012-06-08 19:55:19 +08:00
@gDD 嗯,我在17楼有提到
@1212e 正解,正确的修复方式应该是给v2ex设置页和登录页加csrf token // cc @Livid
rhyzx
2012-06-11 09:52:24 +08:00
额... 怎么就盖了这么多楼了

这个自定义CSS相当于给v2ex加个油猴脚本(stylish), 只对于客户端有效
客户端你想怎么搞就能怎么搞, 即使关了自定义CSS也限制不了的吧?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/38797

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX