漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中 }% ^6 o3 Q! u. H
7 P0 L, L/ u! _# m
& L* h+ E5 I: `7 M* L9 Z- \: @-
' W- U# m# t' c% _* H# u- T
! ?& ?) U2 b( F+ H- u4 {& J % @0 S$ S3 n3 W8 x
漏洞版本:百度空间7 ]! [! n" s8 ^" t, v7 b
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.3 X5 E3 R d( D
: A9 a/ [! @, M3 e! \7 r1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存." L; V5 R1 ~0 T9 v! w8 o
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
) A0 [, ?& G. f" c8 W0 B2 g9 s% V7 D" m# g
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
+ |& ]1 C+ Z$ E7 A j' {7 V4 V4 a其中BdUtil.insertWBR为: Z- j/ s: w$ L
function(text, step) {/ Z8 a# e8 ^" ^
var textarea = textAreaCache || getContainer();& |+ D6 g/ |1 m" h$ d" F
if (!textarea) {
9 J( D. |8 T! V n: r return text;
# F: H! w& F8 I9 m! q. H }0 O/ e5 x; d h. O
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");. g1 d) U9 R3 d. `
var string = textarea.value;- L- A- ]: N2 t
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");9 P) [( u) B9 t0 {1 i$ W/ G$ n
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");9 ?; S1 \2 m# ?; d4 z
return result;1 ]! v! M0 z& q. |; _' t
}) ~4 R+ N, X1 Q) C: U
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
$ ]7 K& m0 H8 V6 e( m& l! F4 hhttp://80vul.com/sobb/sobb-04.txt
! J. I ]8 e. p0 B6 L& h*>
% X( `, H' i6 y测试方法 Sebug.net dis6 @1 v8 K. k& B# A9 j/ l
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!2 V, I! A6 \% m6 e6 M: U9 r
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
/ U% C8 [4 t/ G' m2 v a2 b) ]8 z& v5 _1 Y- ~& n1 ^1 }
|
发表于 2012-12-31 10:19:08
收藏
支持
反对