漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
% Z" h+ [% `, J1 \/ Z: g& z: o" K+ \* p0 d0 X
9 s/ g% j; O7 Q. z-. l0 V" q, T) f1 z# E& m8 I Z6 a
1 {# m9 `" i! N1 B9 B- K0 ` ) I. ]% ^ e$ s" o; v1 k) L R# P
漏洞版本:百度空间 j, L8 S( x7 F- i) N7 w/ |
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.# N5 l; v. E8 H
/ U$ `) E; y0 Y! k ^1 ^6 X1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
% c) j" n( q* {. `6 s" L3 w" u2.在http://hi.baidu.com/ui/scripts/pet/pet.js中- u* H$ f7 u, X& `3 U1 V+ |* f
* H; D7 y' g0 R( z
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>* m- U( m9 \; Z% A* W1 @+ q# z9 h
其中BdUtil.insertWBR为
/ t" A) S4 U' ~; t+ a; gfunction(text, step) {* t, u2 b& J9 s( p
var textarea = textAreaCache || getContainer();
C( u- s: e( M; B1 S# f if (!textarea) {
" p. R; m4 O4 D4 N' v d( y3 ?0 U( [ return text;6 U# N0 z7 ?" [
}% ^: p) E$ v, o- B
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
3 A* r( Z7 W2 f! f$ n P* x& O9 j var string = textarea.value;
7 q/ e/ x( ? |+ U9 {" f var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
; U2 I8 M6 m' D" n8 l var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");0 u- f) P# J# j2 R, g$ V
return result;2 s! B9 W1 Y7 V
}
' K; g* J8 V1 W4 S在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考+ S5 i. I$ P3 I& ~+ \
http://80vul.com/sobb/sobb-04.txt
: E8 _# F$ L$ @3 H0 s7 [: h*>6 \0 R: e; x w5 q
测试方法 Sebug.net dis
0 d; }: `. [7 P* k# v, M5 ?) d. D本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!5 C6 s* ]1 O3 v/ R
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
) G9 t9 [. Y7 B6 Z5 j4 H" V4 ]3 y/ m5 y) G4 D
|
发表于 2012-12-31 10:19:08
收藏
支持
反对