Correzione della sessione - Impostazione del percorso per root senza /

1

Ho trovato una vulnerabilità XSS nel sottodominio di un sito che sto testando e, utilizzandolo, posso impostare i cookie sia per il sito principale che per tutti i suoi sottodomini.

Il mio url al momento è simile a questo:

http://s1.example.com/u/%22%3E%3Cmeta%20http-equiv=Set-Cookie%20content=%22sid=1234;%20path=/;%20expires=Thursday,%2020-May-15%2000:15:00%20GMT;%20domain=example.com%22%3E

Il problema è che per qualche ragione, il carattere "/" è filtrato (non ci sono altri caratteri), il che significa che sebbene io possa impostare i cookie sul sito principale e su tutti i suoi sottodomini, posso solo impostarli su il percorso / u / che è da dove viene lanciato l'attacco dal sottodominio. C'è un modo per impostare il percorso su / senza utilizzare effettivamente / ?

Grazie mille per qualsiasi aiuto!

    
posta WH567 06.08.2014 - 22:57
fonte

3 risposte

1

Il tuo contenuto sta entrando in un attributo HTML, codificato in un URL. Questo ti dà due possibili forme di codifica:

  • Codifica URL: %2F . Anche se in linea di principio dovrebbe funzionare, sia IIS che Apache bloccano l'uso di barre con codifica URL a causa di alcuni problemi di sicurezza passati.

  • Codifica HTML: / , o meglio come se stessa in un URL, %26%2347%3B .

(Anche se ... dal momento che sembra che ci sia un'iniezione nell'attributo HTML, c'è qualche ragione per non andare dritti per il %22%3E%3Cscript%3E... più dannoso e meglio supportato?)

    
risposta data 07.08.2014 - 14:51
fonte
0

Prova la codifica URL del / carattere con la rappresentazione esadecimale %2F .

    
risposta data 06.08.2014 - 23:08
fonte
0

Rimuovi l'intera sezione %20path=/ - l'intestazione della risposta HTTP dovrebbe impostare tutto a livello di root.

Se ciò non funziona all'interno di meta http-eqiv , prova la versione codificata HTML del percorso poiché il contenuto è in HTML dovrebbe essere decodificato correttamente ( / ).

In alternativa è possibile inserire JavaScript per impostare il cookie tramite script sul lato client e impostare il percorso tramite la codifica dell'entità ( \x2f ).

    
risposta data 06.08.2014 - 23:33
fonte

Leggi altre domande sui tag