百度空间Xss漏洞

admin

漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
$ p' Y2 d& [+ ~$ y# z
: F$ _, \  a; P9 j! H, k- U
-

　　
漏洞版本:百度空间
( g) ?# e$ I  ]) p漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.

1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
( h* c- S6 u+ A+ A
3 J$ }2 w( e6 i) y6 d  s6 ~4 a1 R将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说：</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
. m9 m5 o/ Z( s2 o/ T* ?2 R" P其中BdUtil.insertWBR为
6 w4 f) L7 |! K& B* ^  jfunction(text, step) {
. d/ U) m4 S9 h: R    var textarea = textAreaCache || getContainer();
    if (!textarea) {
! s9 O  E& y2 q" t+ W        return text;
    }
    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
4 }2 L/ N( G/ v+ C% H+ R' Y    var string = textarea.value;
    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
. N1 N8 z' \5 I) t& J$ u6 U    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
% _) f1 i+ ]; U$ G. M$ I6 R    return result;
}
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
http://80vul.com/sobb/sobb-04.txt
$ o; A3 _7 E0 q4 b: h0 W' `*>
测试方法Sebug.net   dis
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
4 ]- `* g2 }6 l' {, e
# F( ]/ r6 `( O% C" t  ^