漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中5 w2 }: V9 O/ i1 [/ O! S$ L
: n- i4 l. i9 U+ ?& R
$ Y! F1 [" @3 F' ^/ K. i- n/ F2 e9 _9 Q7 v- a* m2 W
6 u, B: u, c4 z- i& |0 I . r6 Q$ ]2 G7 M' ~3 \" p8 X
漏洞版本:百度空间
6 @" X" o" R2 A2 S3 H: H" R& U漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.0 u1 B6 M! Y5 g5 @, }7 |1 P9 k# J
5 o2 Y. n6 s1 \6 {1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.2 ]; S% e8 G) y& {& i1 H1 }0 p
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中* w7 w0 A r3 h- {- Z
0 r8 P t/ B- r* V, q# z
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>- j( Q* q3 ?/ u3 h* `4 I
其中BdUtil.insertWBR为9 K& G' ~- P+ l
function(text, step) {
$ I2 W; X, W4 N% @9 E# V% e var textarea = textAreaCache || getContainer();
' _3 E( j1 V- L0 @ if (!textarea) {
r1 v- n7 R% |! F) M- T. T" O return text;0 H" m$ z! C; N& {% e* H; M
}
% P O6 t0 O) q, g& ~7 ~% [/ u textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
7 f( _& d& d1 N; u8 |# R* a! e9 N var string = textarea.value;
" y0 z7 `/ F% L3 s5 @. N9 t; J9 o var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");0 ~3 J- O9 w+ P
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
& A5 H' \8 X" r- ]5 t return result;
* v0 V% o! _! Q2 @ x$ ]1 B. ~, i}
v" z3 [8 {& q2 c3 A+ v在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考" t7 M! X- B! O% c) S3 t7 F7 @
http://80vul.com/sobb/sobb-04.txt' R' e7 j& [. C* Q: O9 O- g
*>
9 _$ A9 ^2 @ l+ `. x测试方法Sebug.net dis
& a: S" J: c* N6 Q1 \本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
& Y3 P. y7 F8 b" g7 i i8 X1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
- K+ O( X( |9 g9 o$ W0 Z6 k+ C2 K" |* F0 g' X) f( r) _
|