漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中7 J% e% d" u( ~% I
" P2 ^/ H2 C F) ~
* n# O* ~* c s' q
-
, J* m0 J, I* E4 @ k" c; j
5 g9 F8 g k: ? U- M, F* m
$ S% Y! F' W2 _0 i6 g5 G漏洞版本:百度空间
. ^$ S }7 J3 G" a漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.! U6 L4 X7 `, T4 c$ r) I
% A' C! W+ T9 H* {1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. v( n2 e* }4 h7 G
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中& M( K1 P' h' p+ Y" @2 U
4 n/ }& f5 n( @将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
, W, T8 ~) S$ M _ g0 A其中BdUtil.insertWBR为0 N* A$ Y j( D* J
function(text, step) {
0 H- w g& ^, I) u# \4 o var textarea = textAreaCache || getContainer();+ T6 V, p; V v, D
if (!textarea) {8 G3 ?+ R7 S% ]0 {0 [- x4 {
return text;
1 M" f, V: {, g( s7 H! | }
v# H6 d: l# c* o w2 Y textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
4 u3 \, z. G& w- j var string = textarea.value;
* P2 L7 W9 x7 v! j3 Y4 V0 g var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
- i+ o( ~% Y: x1 A var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");. A. i6 |" G1 x, P
return result;9 T O8 [ p5 ^) P3 R9 L$ f
} q3 [+ u; V B* I' v: M& V- I
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
" z% s& ^0 J' D6 F- Dhttp://80vul.com/sobb/sobb-04.txt
; k3 w& ?$ ~' t9 J, C5 h*>6 n7 Y$ A, x% L" h" `. l3 J
测试方法 Sebug.net dis
$ _5 t0 E, ?0 G' b3 @* X' c本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!/ x( Q5 Q+ O0 m
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
% J& l, |5 x( f" _3 M: M# |2 R3 J2 t! d) r/ U" f. _# Q! v
|
发表于 2012-12-31 10:19:08
收藏
支持
反对