百度空间Xss漏洞

admin

漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
* F& c7 w, [& ?8 ?8 f: V; Q; u5 i

-
. T. x' B" d; I% e, j6 |6 c- `7 y
. R3 k3 ?' O, q0 {- {2 I) Y　　
- e! t/ i" M0 S, T3 y0 G& B: ?1 u漏洞版本:百度空间
* G/ Z& t9 W$ h4 B3 }& ]7 e1 s漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
% _! y/ a* B( A. {% `
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
) |5 r0 h# ?5 c, J# V, {) W4 F( {2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
* ~8 v$ r6 o" e$ Z4 [* s
& R: F2 I0 T# Y1 }3 Q0 ]将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说：</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
其中BdUtil.insertWBR为
2 k, |, N6 f8 Y1 R+ [& D: bfunction(text, step) {
    var textarea = textAreaCache || getContainer();
    if (!textarea) {
' b7 `* T3 p1 G, A% @& \) {/ Z        return text;
& B  _& O: {6 N+ S9 i+ ~    }
" j! U$ v0 D/ S$ m6 j+ J  ?    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
1 r- f1 l& Q5 U    var string = textarea.value;
9 F! f+ d& g  h. w1 |0 f# W    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
2 _! i8 D" b3 S) _/ M, |! H    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
    return result;
; b, [2 ~8 q) ?0 O* @$ [! N}
2 y' Q) ]1 S  P! K) {在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
http://80vul.com/sobb/sobb-04.txt
*>
$ B; }( G7 X! |0 a" d0 H% h测试方法Sebug.net   dis
' H% V! ^6 m7 ^- q3 B5 r本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
5 j0 g. B% m3 O: _! M1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁