漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
8 J! K7 e( A& {/ W' g/ z* i6 z( `1 ]( Q- @3 h
* ^9 O. Y7 e: T8 _' ?, w3 f-
' \8 ]4 P3 z# h2 c0 R
: z- o* l P% P( w& ~ 3 |- N$ {3 v) r& b& h' P0 H# Y7 A
漏洞版本:百度空间
p: Q% d+ w6 j# ~: E* \+ h漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
9 Z6 i* B! |% |- Z1 t
. h" K% j7 v* r5 Z$ @" U1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.( R3 g F7 M) h/ h- @' j, L
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中# J9 B$ E8 b A
% ?0 R9 N3 k3 m8 |将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
* g4 \, t% _1 {% [其中BdUtil.insertWBR为- m1 X* E: m2 M
function(text, step) {3 w+ i4 z X+ T
var textarea = textAreaCache || getContainer();9 ~/ S/ H0 ~: h; R" G4 m6 w
if (!textarea) {
0 Q9 y. ]' s( @/ \ ]* T8 [ return text;
, ]% U% h. Z+ G: L }
: {( H( e/ K0 g textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
* R- K, j0 e! T. n/ p9 h' Z var string = textarea.value;
& c: G: q0 q A- ~+ s" i var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
7 X0 b# c# V& A6 q3 A var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");, @/ q6 T, G" |0 h- e3 r
return result;
$ n6 d1 B+ A( z}
1 V1 f* }& y8 {* P6 m在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
+ R1 \+ e6 \& d5 Shttp://80vul.com/sobb/sobb-04.txt9 [; V5 V% P/ W2 z0 n, l
*>' P1 U7 d X5 g0 w0 l( r
测试方法 Sebug.net dis- A( M V$ p+ L4 E# }
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!. J- C! m% {+ Y( ^: `1 w
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
% d1 @7 ], Y3 x/ {! l- q: z8 h8 l( k& s L' |- O
|
发表于 2012-12-31 10:19:08
收藏
支持
反对