存储型XSS漏洞的另一种发现方式：标签位置的影响分析

漏洞概述

本文介绍了一种特殊的存储型XSS(跨站脚本)漏洞发现方式，该漏洞的触发与HTML标签<div></div>的位置布局密切相关。这种XSS漏洞在Web端、小程序和APP端均可触发，具有较高的危害性。

漏洞发现过程

关键发现

• 自己构造的常规XSS payload无法触发漏洞
• 必须复制文章中带有特定格式(上一行有空格)的payload才能成功触发
• 核心差异在于<div></div>标签是否分处两行

复现步骤

1. 打开目标网站
2. 复制特定格式的payload(必须包含上一行有空格的格式)
3. 将payload粘贴到输入框中，观察弹框行为
4. 尝试导出含有XSS漏洞的文件
5. 在Web端重新导入该文件，验证XSS是否仍然有效
6. 在APP端测试导入功能，验证跨平台影响

技术分析

Payload结构特征

成功触发的payload具有以下特征：

[空行]
<div>恶意内容</div>

而非成功触发的payload通常为：

<div>恶意内容</div> <!-- 所有标签在一行 -->

可能的原因推测

1. HTML解析差异：目标系统可能对多行标签和单行标签的解析处理存在差异
2. 输入过滤绕过：多行格式可能绕过了某些输入过滤机制
3. DOM构建异常：换行符可能导致DOM构建过程中产生解析漏洞
4. CSS/JS处理异常：布局差异可能影响后续CSS或JS的处理逻辑

漏洞利用扩展

跨平台影响

• Web端：成功弹框
• 小程序：成功弹框
• APP端：成功弹框
• 导入/导出功能：XSS效果可持久化

利用链构建

1. 构造特定格式的XSS payload
2. 通过正常功能提交保存
3. 利用导入/导出功能扩散攻击
4. 实现跨平台、持久化的XSS攻击

防御建议

1. 输入过滤：

   • 实现严格的HTML标签过滤
   • 特别注意多行格式的标签处理
   • 规范化换行符和空格处理

2. 输出编码：

   • 对所有动态输出内容进行适当的HTML编码
   • 根据上下文(HTML/JS/CSS/URL)使用不同的编码方案

3. 内容安全策略(CSP)：

   • 实施严格的内容安全策略
   • 限制内联脚本执行

4. 测试验证：

   • 增加对多行HTML标签的测试用例
   • 验证导入/导出功能的安全性

总结

该案例展示了存储型XSS漏洞的一种特殊触发方式，强调了HTML标签布局对XSS漏洞触发的影响。安全研究人员在测试时应考虑各种可能的HTML格式变体，而开发人员则需要确保输入过滤和输出编码机制能够处理各种格式的恶意输入。