Показать сообщение отдельно
Старый 08.10.2012, 14:57   #25
Aels
 
Аватар для Aels
 
Регистрация: 24.12.2010
Сообщений: 16
Репутация: 2
По умолчанию

Цитата:
Сообщение от Beched Посмотреть сообщение
Раз такая пьянка, таки ещё продолжение позавчера вышло:
http://blog.volema.com/opera-svg-xml-shortcut-uxss.html
Автор даже не понял сути обоих багов. Он странный.
Цитата:
The issue lies in the process of handling 'image/svg+xml' Content-Type with the Refresh server response header.
Уязвимость растет из 2х фактов:
1) url-файлы хендлятся самой оперой, без передачи их винде (в отличие от других браузеров). И открываются без спроса.
2) url-файлы открываются в верхнем окне. Даже не в новой вкладке. url-файл, будучи загруженным в ифрейм, подменит адрес родительской (вообще, самой верхней) вкладки.

SVG был выбран как возможность подгрузить какой-нибудь файл через img-тег.
Ни refresh-хедер, ни упаковка в data-урл, тут не нужна по-сути (просто для красоты добавлен).
Варианты остаются следующие:
1) <ForeignObject> и <meta refresh> теги в теле svg.
2) <ForeignObject> и <iframe>, или <embed> теги в теле svg.
А вот Location-хедер не годится, потому что тогда рисунку не присвоится svg+xml тип.

Паковка в data-урл сделана как задел на будущее (потому что хз сколько все ждут, что подгрузка внешних элементов в svg будет наконец запрещена).

Цитата:
Then Opera interprets a Refresh header as an internet shortcut and redirects the victum to
PHP код:
http://target.com/openredirect?param=data%3atext%2fhtml%3bbase64%2cPHNjcmlwdD5hbGVydChkb2N1bWVudC5kb21haW4pOzwvc2NyaXB0Pg%3d%3d 
This URL has an exploit for UXSS 0-day Opera vulnerability embedded in it.
Тоже в общем-то не верно. Тут последний 0-дей и не нужен. Data:-урлы итак наследуют домен в опере.
То есть, хss в данном случае и так сработает.

п.с. M_script опередил.
Aels вне форума   Ответить с цитированием