漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中( a8 }# _: k4 H1 W
! ^3 l/ O: x9 |- V4 e8 a& E. T( P8 j2 X5 W) R4 J( Z" p/ B$ G
-
, [6 J/ j, Z; F! }- Y+ ?$ \+ K% a: T4 d A% ^ Z/ z
2 O: A6 E7 u1 F+ O2 e漏洞版本:百度空间. d1 v! a; p* h0 X* ~; u5 y
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.; n K7 ]7 F7 J9 W8 u2 r
( O7 X) Y$ ?" k! J$ X3 y z6 Z7 ^" R1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.. V( ?9 c% W+ J8 {3 |
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
" q. M, \, l6 ~. h* T+ E% r9 f# ~# p' \2 g
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
/ Z: ]% p( g. g+ f0 W- E3 d/ Q+ A其中BdUtil.insertWBR为
3 c$ A, n8 k2 N* h- b" m1 sfunction(text, step) {
" T& i* h: K0 K" b2 G# t var textarea = textAreaCache || getContainer(); b M. J, ?+ l, m: A' n
if (!textarea) {1 x* M: i# e8 G4 \; ^
return text;
3 ]( O% q$ p! O7 ~1 ~ }
2 O5 f" ]( x% J; a2 R$ K8 H textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");3 i, ^: h5 ]7 ?( j" U0 s
var string = textarea.value;- n, M6 U7 J5 \# k# g$ U
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");1 \- I& \( [* \0 e3 L5 e0 O
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
: d. Q# L9 E$ N# v/ j return result;
& S$ C/ h# k+ j! u}# a! A$ ^1 O+ e; g; k2 W
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考1 d: ]5 f: \" Z9 W' E K" q
http://80vul.com/sobb/sobb-04.txt
' Q. j, s T6 k$ a' i8 O5 @*>
5 s# Z% W: h% H1 j, |: B测试方法 Sebug.net dis8 O: E9 A$ O! r, U) P% M1 R
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
+ g8 z! f8 V$ i* p1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
3 k. [/ U2 c# b; Z* ]( H
$ k2 w6 o" N$ I |
发表于 2012-12-31 10:19:08
收藏
支持
反对