漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
4 Z- z; ]/ R& D6 v9 Q
7 b8 g: C. @) t5 n
# L% u2 ]8 m! f$ _0 F-
5 X& `$ F F3 u0 [8 O, w4 e7 `& S, a7 ]" m+ x
3 J9 ]: W: D2 U& Q# h1 H
漏洞版本:百度空间
& T, O5 X. {' Q漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
8 d# m1 t% l* Q; z+ e+ `( ~8 b& P. {5 y9 f. C W5 k
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.) D$ |0 t6 o3 h
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中 _+ z% w, p# Y- `3 G; ~1 B& L
. }$ q3 W$ W7 y/ c3 s将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
9 f4 H. g0 }0 [. o- w其中BdUtil.insertWBR为, Z. ^3 |6 _/ X# v5 U/ z* @
function(text, step) {7 P) W" |8 n9 _8 o
var textarea = textAreaCache || getContainer();7 G0 F( G4 L2 \, |$ x F
if (!textarea) {1 X$ ^9 c( U+ p8 g- I2 z
return text; b9 I5 P2 s) ?, Q
}8 `- {$ q I5 ^4 j; Y7 I" O
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");& h$ n- ?' C5 `1 n5 f8 Y
var string = textarea.value;. q) W$ A: f) [: E* p% l$ B
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
( }; ~* i- p- G# m/ P! a var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
* h. [4 F5 Q7 [ return result;
7 x) y8 T/ C O% Q/ G! G}0 ?* i; Q# R; l/ E' M& F; i
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考$ T' }4 I- J: S( ~* Q; U9 e" C
http://80vul.com/sobb/sobb-04.txt* y: Y# @6 K( u9 }% }! S5 {1 H) }
*>
6 C* A/ `3 z( T. B: c* e& W测试方法 Sebug.net dis$ X. p& J; o' P) T& r9 v( Z# E
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!& ]/ W+ T! q# q7 S
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁; B, t- h& j6 {% p$ W
" C/ Q2 {& k$ _9 U( l |
发表于 2012-12-31 10:19:08
收藏
支持
反对