百度空间Xss漏洞

admin

漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
" t& \3 N* A% ]$ Y/ G! u9 ^% \

-
6 z, ?& H( `0 I7 J& q. O# ?  c
　　
漏洞版本:百度空间
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.

1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
& A) i+ N- f# m4 [; T, G
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说：</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
其中BdUtil.insertWBR为
5 F- Z* y) _) u* f5 afunction(text, step) {
  u, y1 v2 G* h' D    var textarea = textAreaCache || getContainer();
3 a. l. u6 g8 }: L    if (!textarea) {
# M5 Y4 K* p; f1 {        return text;
" p$ A/ D+ [: Q3 w, P5 W6 _    }
9 H$ T) U* Z9 R7 k/ l1 {3 K: W# m    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
  ^/ r9 E: F& P    var string = textarea.value;
+ A( G4 C  n' h0 {    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
5 q( l* ~  k: Y    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
    return result;
: g% a0 i8 F% B( @* m! M$ ?# x6 e}
+ K" l1 O. S9 h$ M, t/ Z在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
3 u! `7 t2 y9 x4 P6 J0 ]http://80vul.com/sobb/sobb-04.txt
5 ~8 a# q9 C- L+ k$ d& b4 A*>
9 T" t( V3 {4 y( Z' i测试方法Sebug.net   dis
. U8 x' {3 P5 c1 g4 T本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
; S& c, V) u& G8 S' B  Q$ i, V: L& h4 N1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁