漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中6 G6 W5 S/ r5 Z2 m% f5 |3 \4 o
& E1 q0 B R$ I6 H: I* L0 C
, N( o! p8 L' s, W- |
-) N+ o7 A( T2 l
2 g: [! e& U( ?3 R) s. Q
' @) P' u$ x: H. y4 f4 v+ v
漏洞版本:百度空间9 q2 `! J9 c( q# h! D
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.4 {$ i; |( N- c: x) V- s" X' ?
; T+ B( M7 n$ {0 q0 E# ?/ D
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.+ f+ a: }; q8 S8 r
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
8 P9 z3 d7 @# f+ d; q% {1 E) o$ a/ t
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
- w; j$ R: @" _1 M {3 k其中BdUtil.insertWBR为
9 v% p' O( [7 I& R6 D) Dfunction(text, step) {
- [# S, t, W( ?! c" T( ] var textarea = textAreaCache || getContainer();$ v& T1 I: N# c6 ]/ W2 S
if (!textarea) { u6 v9 Z* O! N; ~' g4 e/ u" I
return text;
5 [! k6 s4 F# k6 _1 g }
( W a# `2 E S' K. h) O& k textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");7 A$ ]6 g. \% W8 A, `1 N/ {! c
var string = textarea.value;
6 ~: m' Q9 Y7 V% D var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");5 A" G& Y' j8 ^2 Q% b
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
( Z) O, `* v* u/ K) @ return result;, p, H3 O l- U G
}
d8 K! b0 v; {: g0 P" f7 y' r' N在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
* ?' e0 [3 S* s6 _8 Nhttp://80vul.com/sobb/sobb-04.txt
7 y; d% L% h0 F* C, X*>
# F& ^ }4 a9 L# G3 r测试方法 Sebug.net dis7 G/ o1 l) i" b; f
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!; m5 b) Z$ x! g) i5 R8 }
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁+ G- Q. u+ p- W* p) `& |
5 N: G0 v/ ]$ F' |: M) H2 } |
发表于 2012-12-31 10:19:08
收藏
支持
反对