漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
& }9 s$ ^/ Z, m6 y8 w5 s% m! x5 i( D, u$ f
+ H0 a7 o, x: T-# J- G! q1 P% ?# u8 O' y% ` }
6 v' W% s y$ k! T/ t f: j
7 L9 R% ~9 s2 A漏洞版本:百度空间
; u$ ?7 N) E, Z& a$ Z: H V漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.( U' s# z5 K* |: d2 `
+ Q5 F* W1 x/ T; s4 v, m% u# w" ]3 n
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
! d2 k4 Z+ R+ y) K2.在http://hi.baidu.com/ui/scripts/pet/pet.js中( H }% I* c, {" N. n1 C
' U6 ~) ]) `* n将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
! K3 D: X& j5 S" O$ M$ a其中BdUtil.insertWBR为
0 l" z; @; e: d" n! h; M5 U2 m9 vfunction(text, step) {
1 p& q O' {: R5 q var textarea = textAreaCache || getContainer();6 L- m7 b; r; o, y8 o' Z3 d% s
if (!textarea) {, y6 C* H* a" ~0 Q9 C' H! e
return text;
% d: O. a ?8 h- |* c! ~ }
& A1 _0 H1 n: \& k9 j' E: c" k9 x! s textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");+ k( M( r- f2 c0 @6 M/ _$ p5 ~* w
var string = textarea.value;$ T# z0 d& F. ]0 X
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
% z Y! G. X9 F8 y9 b" `! ~ h var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
, W7 U# u( C; c. K* y return result;
9 ^4 k" A2 g' c2 g/ K}
% }, M# L2 l2 z; C& B在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
8 Z9 \) U: A3 W3 B' Qhttp://80vul.com/sobb/sobb-04.txt0 r& w* G( A( a) i
*>) u( W( b, G% d# g
测试方法 Sebug.net dis
+ r8 q+ o' y5 h) Y* o2 q- P本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
) x- |0 D" K. i. D! W& ^3 z: S1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
5 H1 [% [5 W) ]( }* M( Y' w, o4 B l+ W" v0 j
|
发表于 2012-12-31 10:19:08
收藏
支持
反对