V2EX的个人设置中的自定义CSS功能存在安全漏洞

输入其中的内容如下，你们懂的。

</style>
<script>
alert("xss");
</script>
<style>
#Top {
background: #BDBDBD;
}

Livid

2012-06-08 17:34:04 +08:00

@gDD 目前已经加入了一些检查。

Livid

2012-06-08 17:38:45 +08:00

@jackmasa 很感谢你的发现。

但是有个地方我还是没有想明白，希望你能解释一下。

用另外一个帐号跨域登录的话，cookie 变了，当前登录用户也变了的情况下，如何能够影响到之前点击链接的用户呢？

当然，用户看到自己的登录名变了确实会感觉比较惊悚。:)

aligo

2012-06-08 17:41:00 +08:00

@Livid 似乎没有影响到之前点击链接的用户

Livid

2012-06-08 17:41:56 +08:00

@aligo 希望如此。

安全方面我不是专家，还请大家多多赐教。:)

1212e

2012-06-08 17:45:00 +08:00

@aligo
@Livid
@gDD

接下来的步骤是画出一个假的登录form来骗取密码?

xlaok

2012-06-08 18:52:04 +08:00

哇哦，很酷，没想到这个居然能被利用。

gDD

2012-06-08 19:07:47 +08:00

@1212e 是的，其实应该直接写<form/>然后submit()修改自定义CSS（往里插入JS），然后就All your XX are belong to us了 xD

1212e

2012-06-08 19:34:42 +08:00

@jackmasa @gDD 哈哈...

所以真正的漏洞是跨域post，而不是自定义CSS吧？囧…学习了…

altchen

2012-06-08 19:45:34 +08:00

呵呵，还想到还有这种方式，受教了

@1212e 应该是两个同时存在的时候就危险，单个倒还好

jackmasa

2012-06-08 19:55:19 +08:00

@gDD 嗯,我在17楼有提到
@1212e 正解,正确的修复方式应该是给v2ex设置页和登录页加csrf token // cc @Livid

rhyzx

2012-06-11 09:52:24 +08:00

额... 怎么就盖了这么多楼了

这个自定义CSS相当于给v2ex加个油猴脚本(stylish), 只对于客户端有效
客户端你想怎么搞就能怎么搞, 即使关了自定义CSS也限制不了的吧?

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.