漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中8 c9 ?8 M/ ?& k1 h3 o
1 K7 `( q! W" I1 [. c5 l
0 M. l/ M6 L% R8 x; ~-
& C2 q/ m. X/ i' @# T$ e
" J% m0 y& |/ \) c1 w ( u3 b* k- h" X K
漏洞版本:百度空间
* V( o" f1 |7 q$ F& y漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.% [. |! h+ P: X) h" ^ U b
1 P# t0 n1 p$ D j0 s- V/ u' B
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
% M* _8 W1 B4 c/ J2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
: N; Q$ X" ^0 d8 [: J0 A9 \# L
! R* j" I0 ]( u8 H将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
2 h& d" w& v2 }' y& L其中BdUtil.insertWBR为
" }! e. X" L" v. U+ g+ Q; |function(text, step) {
; M! f6 s9 D" }" w% d; N# { var textarea = textAreaCache || getContainer(); M4 Z% {5 c' J6 e3 C- F" m
if (!textarea) {
; j& ~3 i+ y1 @8 V return text;6 E$ Z" S7 _$ I8 p+ F' c0 t* g. h; M3 v
}
& l' n8 x5 h- Z: [ textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");) l# x3 a! X' Q3 B) }
var string = textarea.value;
1 u2 j& b. o- x8 V8 o) v% t var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");$ Q; x8 t; a$ R4 ?4 T
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");( Q: {6 g; j7 I8 Y# K( {# O
return result;
# W- D( h& S2 J4 v7 y. P}
0 u. E) S) H; A) c/ f- Q. j- j在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
9 b/ D A* h" F- z8 x9 _5 u }8 Chttp://80vul.com/sobb/sobb-04.txt! n3 M2 I1 o Z
*>
$ O0 q8 r3 {* [# g1 \6 c( y+ z测试方法 Sebug.net dis
/ c: ^" z R( o1 t9 u/ t3 g本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!& p: i8 p9 a+ x
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁. j+ `" J' [" d5 S0 F
* [( r& z- d* M
|
发表于 2012-12-31 10:19:08
收藏
支持
反对