漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
0 Y8 Q9 h9 b- A7 m# N w. Y6 O s/ U1 \. x4 h
4 y: R# l! w$ ]; v' h0 f6 V
-) C' n9 P7 o w$ Z* a. v4 ?
+ f) ^5 j$ ^7 j" V. B* I
' `; _* E; F" j+ ^7 Q" X
漏洞版本:百度空间: g7 V& i. B+ A c3 f
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
; E* q7 S4 h# z& z3 f
3 x9 c4 `; p4 \1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.+ ^, \$ A; ~5 J' z
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中8 U- i X. j6 _, w
7 h7 J, A0 K, G( t1 ?
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
$ N, r- z& ~8 f' D4 s. [! h其中BdUtil.insertWBR为$ ?* n1 s0 P3 o- t$ t
function(text, step) {; R: g; C/ }2 \8 Z% ~, R/ R) r
var textarea = textAreaCache || getContainer();
0 s/ _/ Z* d, z8 L" E' T if (!textarea) {
1 z# b$ @; N5 M, ], ?9 R' A' V: F+ J% A return text;+ j) k K" M' S$ C
}
* Y* C9 F: u: Q, P3 L textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");* G2 g! h" T5 P o$ Q7 @1 c# k
var string = textarea.value;; v& ~/ |3 X2 U, T" n
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");+ l0 ]0 U4 ?* r- ^" Y. `9 k" M
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");) O0 g/ X2 J; w5 Y4 W- B& y* c# [% V+ a
return result;
. H8 k. V! r2 J3 u: b, \5 { v% m6 @}$ R4 M5 n4 k$ T* I- [) ?
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考1 p3 N, ^# P4 m9 `( Y
http://80vul.com/sobb/sobb-04.txt
; O$ U% `7 G4 ~- w% H% @*>
3 Y6 [8 ~ X) C4 X! ^7 @测试方法 Sebug.net dis
8 U0 N, I, V% d& \; H. A( ~. S本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
2 W* C8 B3 ~3 s1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
& h/ b$ e% [; `4 U8 q4 l6 O7 \- j7 Y; u3 T3 J$ C
|
发表于 2012-12-31 10:19:08
收藏
支持
反对