もう少し詳しく調べてみたところGecko DOM Reference [mozilla.org]にあるプロパティの内
document.location
document.close
document.open
window.location
window.closed
window.Components
window.document
window.frames
window.history.back
window.history.forward
window.history.go
window.parent
window.self
window.top
window.window
window.blur
window.close
window.escape
window.focus
window.unescape
にはアクセスでき、それ以外のプロパティや存在しないプロパティにアクセスしようとすると
Error: uncaught exception: Permission denied to get property Window.onabort
のようなエラーが出ます。
window.close()を行うと
Scripts may not close windows that were not opened by script.
とエラーが出ます。
mozilla (スコア:2, 参考になる)
mozillaCSSにおけるjavascript起動 (スコア:2, 参考になる)
朗報!と思いまして脊髄反射で手元で試験しました。最新版のFirefoxで検査しましたが、以下のことが判明しております。
formのinput要素のスタイル指定で背景画像のURIにjavascriptを指定すると作動いたしました。location.replace関数で見事にgoogle.comに飛んでいきました。
スラドのXSS対策が効いて全角がまざったりしますが検証したコードを書いておきます。urlの中の”は実際には文字参照してください。ここで文字参照書いても駄目みたいなので。
[input type="text" style="background-image:url('javascript:location.replace("http://www.google.com")')"]
| 慈愛こそ慈愛
Re:mozillaCSSにおけるjavascript起動 (スコア:1)
document.location
document.close
document.open
window.location
window.closed
window.Components
window.document
window.frames
window.history.back
window.history.forward
window.history.go
window.parent
window.self
window.top
window.window
window.blur
window.close
window.escape
window.focus
window.unescape
にはアクセスでき、それ以外のプロパティや存在しないプロパティにアクセスしようとすると
Error: uncaught exception: Permission denied to get property Window.onabort
のようなエラーが出ます。
window.close()を行うと
Scripts may not close windows that were not opened by script.
とエラーが出ます。
ほとんどは無害なものですが、document.open()をLinux上のFireFox0.8で行ったところクラッシュしました。
また、window.history.go(0)を行うと無限にリロードを繰り返します。Escで止められます。
見落しやタイプミスはあるかもしれませんし、ソースを見ていないのではっきりしたことは分りません。より新しい版では違うかもしれません。
MozillaCSSからのcookie操作はやはり可能 (スコア:1)
javascript:(function image(){document.cookie=location.href;alert(document.cookie)})()
要は、勝手に作った関数の中に放りこんでしまえば uncaught exception にはならないということです。これが意図した仕様かどうかは不明です。背景画像にjavascriptを設定出来ると発生する(cookieを盗むという意味の狭い定義の)XSS脆弱性はMozillaでも他のブラウザ同様ではないでしょうか。また、XSS脆弱性はcookieを盗む以外でも多種多様な手が考えられますが関数を呼び出せば恐らくそちらも同様に可能でしょう。
|
|
| 慈愛こそ慈愛
Re:MozillaCSSからのcookie操作はやはり可能 (スコア:1)
bugzillaだと
css background url allows execution of javascript and allows opening of other non-graphic URIs [mozilla.org]
が近いでしょうか。でもちょっと違いますね。