漏洞说明：IE8是微软新推出的一款浏览器，其对CSS2.1的完整支持，HTML5的支持，内置开发工具等等。IE8在浏览器安全性上有非常大的改进，内置了一款无法卸载的Xss Filter，对非持久型跨站脚本攻击做了比较好的防护。但是80sec在测试IE8时，发现IE8在设计Xss Filter时存在逻辑上的错误，可能导致一些原本不存在漏洞的站点出现安全问题，并且IE8也并没有从根本上解决跨站脚本攻击问题，甚至针对非持久型跨站脚本攻击在变通攻击方法之后一样可能被利用。而在一些书写不严谨的web站点上，IE8的Xss Filter根本发挥不了任何作用。

漏洞站点http://www.microsoft.com/

漏洞解析：通过我们研究后发现IE8的Xss Filter的基本原理是根据一些已知的攻击情况所集成的规则库来匹配书写的URL，如果匹配规则就发出警告，并且将站点回显的页面里的相关匹配内容替换成无危害的类型。这一过程存在很多问题

1 匹配的规则问题

IE8只能对一些已知的简单规则进行匹配，并且不能防止JavaScript Injection和一些Dom操作带来的XSS，对于持久型Xss更是无能为力。所以IE8在防止Xss方面只是做了非常非常小的一部。这一步对于一些书写不严谨的站点更是起不了任何作用。譬如一个Dom Xss[Thanks Luoluo]

Dom XSS In IE8

http://hi.baidu.com/mailxss/blog/item/2313eceea66b3e30adafd54c.html'style='width:expression(eval(String.fromCharCode(0x69,0x66,0x28,0x21,0x77,0x69,0x6e,0x64,0x6f,0x77,0x2e,0x78,0x29,0x7b,0x61,0x6c,0x65,0x72,0x74,0x28,0x31,0x29,0x3b,0x77,0x69,0x6e,0x64,0x6f,0x77,0x2e,0x78,0x3d,0x31,0x3b,0x7d)));
可以看到XSS一样触发。

2 如何在IE8下进行非持久XSS[该问题受同源策略影响]

IE8只是给人一种安全感，他并不能修复站点的安全漏洞。对于黑客来讲，他只需要把原来的XSS放到iframe里就一样可以用来攻击该站点，并不能从根本上解决跨站。譬如原来是

http://www.80sec.com/?url=<;script>alert()</script>

会被拦截，但是当你用

<iframe src=http://www.80sec.com/?url=<;script>alert()</script>’></iframe>

一样可以利用，不过可能需要一些更深入的技巧。

3 IE8使很多的站点存在安全隐患

IE8的防护设计是当有违反规则的输入在URL里时，就把页面相应的内容给替换掉，而不管这个页面的内容是不是由用户输入造成的。黑客利用这一点，可以替换目标站点的某些代码，而实现这个只需要在地址后面加一个无关紧要的输入。如果被替换的内容涉及到一些页面逻辑，就可能被上下文利用，使用IE8的话，任何站点都可能成为攻击目标。

http://www.baidu.com/?80sec=<;meta%20http-equiv=Content-Type%20content=”text/html;charset=gb2312″>

看看，在IE8下上面URL是不是乱了，当然，我们可以利用这个特性注释掉很多东西，如JS等等，都可以导致目标站点存在安全隐患，甚至被利用。

4. IE8的Xss Filter功能具有同源策略特性。

IE8的Xss Filter功能具有同源策略特性，相对于大部分非持久型XSS,如果攻击点来源于被攻击网站，将不会对XSS情况进行拦截。说明IE8的Xss Filter功能在设计时，决定完全信任来自本域的访问，例如

http://www.baidu.com/?xss=<;script>alert(’xss’)

这类链接如果出现在www.baidu.com域内的页面被点击触发XSS漏洞，IE8的Xss Filter将不会拦截。

漏洞状态：等候官方回应