漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
0 ^1 C0 o- n( v) i6 N# l3 s# ~1 B& M. M" L3 y, L
7 ?5 y2 i/ `( r% D4 b/ M. R-
" I; {2 t3 f. l! C' Y3 q. D3 u6 Y/ ?0 l7 ?0 @
) S( o6 r7 Q8 @ B3 g" }漏洞版本:百度空间' T9 }+ k( I5 t7 G$ _/ F# _
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.( s) M4 ?. e2 Q0 X+ ~
4 ^: v# B! {" u
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
: m: b4 g9 t* T+ |2.在http://hi.baidu.com/ui/scripts/pet/pet.js中* P! |* G: P6 e0 S* v+ H3 I
8 m3 L, F& g- W- }& s4 U" n8 z8 C将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>. p) i t, Z2 ~0 m
其中BdUtil.insertWBR为# O( }$ ?. e. d
function(text, step) { o" N& K* }# e2 ~
var textarea = textAreaCache || getContainer();0 W2 \, {7 v/ L3 }
if (!textarea) {
4 [7 p2 }. J5 b return text;" T* g3 E/ J7 e H# M R3 y. k
}8 [1 U& I" ?7 u a
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
) ^1 r* f7 w) b, C/ r var string = textarea.value;4 \; Y0 |! T' Y- i2 Z- J
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
+ \$ j; |& t1 g5 b& m1 P9 m var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");" c5 \$ B$ q( F0 q0 F4 j$ v4 ~
return result;0 g, X5 V& p# S# _8 V
}
% H% c+ X# A ]) R/ W+ U在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考0 `8 w" v% |3 G! ]$ }) G" c1 P
http://80vul.com/sobb/sobb-04.txt
/ J* m; k; H, q# |( _# G: F*>
: L" }" P7 K- }( C测试方法Sebug.net dis
0 T5 y: u( ^7 g: `本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
8 H- u* d+ R+ G1 M- C% }: a1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
9 ?8 T! D B5 I' F1 H& I' }% O/ c3 A; y
|