漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
) j$ U2 g# Z& Y* F8 K! s" u' q9 a9 N
* P4 i' l( M4 S8 ]6 L6 M I-
: z2 ^% ?- G1 u" o2 B" H- |# W& @* i ^. Q' X1 F
+ B* [; f2 S2 m. f' c8 n# r漏洞版本:百度空间
X* R: _# m3 {8 D9 X漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.9 @3 C T6 V' A2 L
& e0 D- z1 ?# P) I3 I4 W& z$ \% h1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.; U5 i0 G5 G8 l2 p
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
, ^2 ?9 e& S+ i7 e' K! [% q
$ Y. }- q" x5 ~: U' U5 H7 f将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>' N" q2 ?) y/ C! m
其中BdUtil.insertWBR为
& M2 \5 x- C/ x: pfunction(text, step) {
# d- c+ d5 I! z8 K. f var textarea = textAreaCache || getContainer();2 P+ u9 X s( ?' [$ V2 t$ W4 q
if (!textarea) {1 F% c: L6 O5 Z. N# _5 i( N
return text;
8 p# K: g3 o0 x( A" n }% z4 m& o3 T$ I0 T! E
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");! \1 ?0 B' C6 d8 g
var string = textarea.value;2 Z7 A' b0 M7 K1 {5 K3 {
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
' c; n/ z! V2 d$ u5 x+ S var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");$ i1 {& P b5 _: g% l+ q: C; I
return result;
+ |! s) C& C, [8 }; B; I}
/ A8 V7 K. I& e4 \% X7 k g在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
; g H- w4 E4 Fhttp://80vul.com/sobb/sobb-04.txt' E5 u# }, @" @- c/ {4 V
*>8 z/ P" O( w2 @7 B% p
测试方法 Sebug.net dis
q l2 t7 ? O1 C" x本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! v( L5 x9 {5 ~- V5 B
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
4 P& ^+ Q5 J1 }& N6 S0 [
& y$ f$ h; a5 @ |
发表于 2012-12-31 10:19:08
收藏
支持
反对