漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中' ]$ r5 j7 w- R8 n$ R
% \+ l9 l( e& G; J+ i: {. T( Q# F: o: d0 m) @
-
7 T+ ^) u% \" l5 @- }8 V# {9 J' @3 P8 V( T; p
" \2 c& U! f( i" S8 d1 I4 n. e; C漏洞版本:百度空间
$ C$ @ e* d7 e# [# K5 ^漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.' B* ^- d8 l2 Q& A- g+ q* i7 D
; ]- K& `/ u$ b9 ]1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.; a) w) R, P! n0 M3 ^' ]
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
1 Q# L F2 U% L3 s! k$ X# T' \% F g3 j9 O* d5 J% C7 F4 [
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
5 r6 P1 L4 A% F( m) u1 @其中BdUtil.insertWBR为
! J1 t- a& b) p" Z4 C7 p' Xfunction(text, step) {
% z4 L0 O& n# A( E3 G" [" b var textarea = textAreaCache || getContainer();* F X! z& A! T( C1 b3 x( h
if (!textarea) {* d/ @) l) t4 R! ^/ q" q x, v
return text;
" r# Y4 Z& T* _; i6 D$ p. \ }& H1 w( p9 C' Z4 c1 r
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");& u7 l/ Y2 i- a- b* u( B8 F* S& M
var string = textarea.value;
D3 T2 t% I& l/ K, R* z var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");* D0 n- Q/ r% W* x! m& k
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");8 e+ L/ {4 a8 R
return result;
# [0 Q5 ]( p. P9 n* _: _} @% D5 Z3 Z _; O R0 `
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
! k) r7 M# D0 o9 [$ Z' P0 V! Zhttp://80vul.com/sobb/sobb-04.txt- i! j/ _; C$ {
*>/ r$ Y& E* {+ w# X
测试方法 Sebug.net dis* {5 F8 A) [- B1 ?1 h7 B3 ^7 ^9 E
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
. K5 z' v1 [& J1 x1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁 ?- t' M7 ]( G* {4 @
' `" j0 b8 J0 j$ n6 G |