漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中. m3 N( p; \( S4 W
$ |! ~* g; f, B g* h2 y; [$ E! |& Q
-3 S% m. P% E% t* a5 n! J% n% E; h* ~
; \0 ]! ?3 z% P
1 n& _2 i8 O7 E2 i. }+ ]" s漏洞版本:百度空间7 Q: P$ m3 i3 K6 j8 G/ v# N
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.0 x6 D) d( c; B q, v9 A
6 R- I& O5 m7 a' g( }+ C) j
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
$ l/ G- C8 h3 J9 J3 k) S2.在http://hi.baidu.com/ui/scripts/pet/pet.js中* y9 |3 M- }$ b$ {
4 E4 a9 F4 e( B) z3 N- X将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
$ S" o. { v; i Q其中BdUtil.insertWBR为6 C* h$ O' H- h
function(text, step) {
: o# b& W. E: Q: U! b8 m1 n var textarea = textAreaCache || getContainer();5 J/ X$ l) Z1 j3 i& f# F/ s9 e# e
if (!textarea) {. }5 p6 P. T: x& l/ t
return text;0 s' s+ ]( N P3 _' Y% M
}
- Z+ h$ N M1 m6 V textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");) C0 F6 g2 \% [9 Q& _7 B
var string = textarea.value;4 k9 E7 ^3 H) Q
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");+ i2 q1 P! k. R( W' I+ f" `* j" D8 \
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
% q+ L: x% `& @- O' F* r return result;+ Q5 x# Q+ D( H" v
}
; h, x. y' P7 N9 ?在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考; w7 C8 e5 y. |1 a3 V
http://80vul.com/sobb/sobb-04.txt
1 e6 b' Q( P- N1 K*>+ }9 G9 s9 w6 d8 d+ u! z( m8 u/ y
测试方法 Sebug.net dis1 G4 _$ }; |+ c8 t( U4 [
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!) \1 X6 g ~7 A
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
9 m7 M" t* Y' m* d
( r- i8 \2 a5 d# W0 X |
发表于 2012-12-31 10:19:08
收藏
支持
反对