漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
* [% ^( H; [: T3 c9 y1 ^, d. B
; N _2 X, m& Y5 {5 V' I# f4 f! h- r; _" c
-9 |, y' p' Z5 C2 i1 p$ q' J
, N$ u7 {9 m& y
! T V& D, B6 d
漏洞版本:百度空间
a: `1 [) z+ F+ e4 o0 P漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
' a. y9 V0 k1 a
8 r6 l7 }& B' U1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
: L+ f8 Z) z+ c5 y2 m4 A# @2.在http://hi.baidu.com/ui/scripts/pet/pet.js中9 b/ F7 W* a, i/ l' i& | J
* E" \) ?4 X1 T) B$ O1 ^; N将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
! P* A V2 C4 X, A7 T其中BdUtil.insertWBR为
' m2 }/ k T* X* t8 Ofunction(text, step) {2 b# m0 u5 W# x! Q0 e1 l, a
var textarea = textAreaCache || getContainer();
1 q y- |/ u% d! ^ P if (!textarea) {2 [$ I- B$ l6 @' E5 V
return text;
$ J5 ^0 u# S+ h, |" _0 R }& g/ H: {% p' m4 |6 s9 k
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");, ^, ^. T! m; l$ S+ p
var string = textarea.value;5 o. ^% }* ^* E$ V8 ]
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");/ ~0 b) a/ A% F
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
- `$ S; U( F* z1 { return result;# `9 @. X1 i! X
}
6 d3 P) a% |) s在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
' {4 k% d, O% Y' k# \4 z0 qhttp://80vul.com/sobb/sobb-04.txt& J3 z7 h8 B3 x+ J/ m; }7 T0 M b; z
*>
: b T1 y- E$ C( e7 X& T) @测试方法 Sebug.net dis& ^/ W6 V1 i; e& g% o
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!; q, h+ l7 F* E1 `, w
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁( D; P7 ~( ~: ^! `9 @4 A
5 G' [/ j5 Z$ M5 A# Z7 _6 M6 [
|
发表于 2012-12-31 10:19:08
收藏
支持
反对