漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
) I; ?! y' V% _) Y
: ^) u' ~- m/ `- q
6 Q2 d1 a, F! @3 n+ H% V u-
+ F }( w& Y# M* D5 j% W* c# x& f _! h/ r. i) y/ Q! D# z! K
% m0 V5 t3 U% Z- i
漏洞版本:百度空间
& W0 U2 J$ j& c/ ]% \, ^8 ?漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
( m) F* l" t# e9 N1 l' ~, f
9 K7 a9 Q* \: x1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
0 z! E. r+ k: x* ?2.在http://hi.baidu.com/ui/scripts/pet/pet.js中 @2 w' l: G# x6 ]' [
; S# d, F* C7 h6 M5 _
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
! C+ C L/ d8 ` x; ]1 S其中BdUtil.insertWBR为
' n. p. c2 y) ^+ N' c Y G0 a" Lfunction(text, step) {
; k# b, {/ ^4 B f: L7 K var textarea = textAreaCache || getContainer();
. k4 }6 q l8 K- b; l) u/ y8 ^ if (!textarea) {* L/ K$ O1 k9 @1 W
return text;0 r! j& C: `; j
}
3 ~7 [7 X9 v& k' Y0 s# O textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");: M5 g2 q2 ]! m3 g7 i$ e
var string = textarea.value;
: F% V7 b) a# ~9 p var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");: F: |$ t; U: t9 ]2 t
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
/ y8 Y8 G3 |) R8 V0 u2 U: t0 C& m return result;
& J) K0 l, n+ h& r* _}
. h8 _, _& Z- B在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考; z4 q$ s r I7 W5 V+ x; y$ q
http://80vul.com/sobb/sobb-04.txt2 C, A; W j9 L' z/ q7 G+ X
*>7 h5 I2 y5 M, N8 B
测试方法 Sebug.net dis) G p. _ \( e& l- G; c4 v" }9 k: e: K
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
+ Z6 g! ]5 b D \! t& g2 n1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
. k6 b) u. g8 |7 h; _/ v8 U, g1 v( M- P% K0 e5 ^* t8 F
|
发表于 2012-12-31 10:19:08
收藏
支持
反对