漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中: ]! S' J3 x0 u- U
# r, ?: {9 Z" Z# q
1 {( l* m& b$ k# ~9 l-, W" D7 K, F H' J3 d3 [3 d
9 h( E* k; }3 n4 j& m " L! L1 H4 z: r5 Q
漏洞版本:百度空间! }& |# z' y& Z- Y
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
$ M; n# h' Z1 d, c
& T$ U. f1 {- M0 \1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
/ r+ U. D$ j, Z4 U; ?6 j" G1 }2 `3 s2.在http://hi.baidu.com/ui/scripts/pet/pet.js中( P: j8 e# G7 K# w/ o
9 k# M# k+ L5 n' P将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
1 d$ Y4 }- {# i+ \; |7 g% K其中BdUtil.insertWBR为# H Y7 j! K: {4 L" y; b6 f
function(text, step) {
3 E3 f0 B1 e" q var textarea = textAreaCache || getContainer();
_+ F6 ^% u Y if (!textarea) {
7 O6 B2 ~! T& c& S9 R4 t return text;5 B1 R5 G& l3 d
}1 i8 k/ V& x% {# Y
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
3 f* v0 K3 \3 W, M5 `" Y) w0 S+ } var string = textarea.value;
2 c, |/ z- A: n var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
( b8 b2 ?! r. B# x6 D, N: G var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
5 x* c& @" ]. ?2 K, j9 R return result;
, |$ E% H" q: @$ [}
7 ?: Z; G; k% e. J5 z( z4 N- p在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
; G) b& Q2 @9 C6 _7 Dhttp://80vul.com/sobb/sobb-04.txt
. t- T4 H- N5 i, T$ k2 l! i5 o: P, F*>
4 k6 Q/ Z2 k3 Q; b4 P8 @测试方法 Sebug.net dis& I+ y' ]2 e7 ?7 w+ Z6 \1 z& {% Q
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!8 S$ B2 @( u& d: w W
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
9 c% R: l- b" }7 U% U! |5 \4 u
! ?1 ^9 N( v; a7 W! |/ z( V |
发表于 2012-12-31 10:19:08
收藏
支持
反对