百度空间Xss漏洞

admin

漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
, i$ U7 R6 K( v1 S$ C! D8 g

-

　　
. Z5 z& I3 ~' {; c" ?漏洞版本:百度空间
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
6 R  F2 \. O( @0 U
! h, }6 o( I0 r/ G& I* ^3 r  c3 B: d2 G1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
) q) x( y" E: W/ c# _6 ~9 U# I7 a2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
) _3 d  {  u" K2 q2 Q. j/ }
; Z1 E+ m! d, x! V' H4 |! K# @+ g将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说：</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
其中BdUtil.insertWBR为
function(text, step) {
  ?% Q/ {5 F5 D- d8 t; {$ r0 D* Z6 ~    var textarea = textAreaCache || getContainer();
    if (!textarea) {
        return text;
    }
0 _& m5 q  s1 d% c: @    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
    var string = textarea.value;
. {' W! M8 A2 G9 x# @1 \9 k7 }    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
    return result;
! @  A: }2 B6 n7 @8 z0 T* [}
; n: B' z/ Y- A0 q: Y- L/ }" U在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
http://80vul.com/sobb/sobb-04.txt
5 H8 o- K' x3 H/ [& q*>
测试方法Sebug.net   dis
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁

! r; E3 f: ?7 ]$ {, d* U