百度空间Xss漏洞

admin

漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中

4 s9 h0 N/ b+ B4 H! k
# ?* i5 X" `0 y" N-
9 V$ C( R; b7 o2 Y& S* j! D
4 Q" G: a) h9 A( y$ r6 |1 {　　
+ ~7 z3 t4 ?" z" d: @% h: x漏洞版本:百度空间
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.

, X  d5 Y7 z, ?& ~" `, r- d" E1 H; m1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
* J" F$ C: O5 c  p2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
% n* Y, e# x' u
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说：</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
# R" ~3 b/ p$ l+ f1 x; X其中BdUtil.insertWBR为
function(text, step) {
    var textarea = textAreaCache || getContainer();
    if (!textarea) {
- I& k) T3 U/ I' R        return text;
    }
* k) T- l( R# q; ]/ c2 m/ A    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
1 H& b5 n" H$ F. {/ @, \. o/ X; Y    var string = textarea.value;
    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
4 Y- q+ H2 n. H9 U    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
4 P( |0 [" B  k2 L7 C$ W. }  V    return result;
" u  L- l0 Y" B. L}
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
3 u/ U7 A6 _1 f1 A! O; q3 yhttp://80vul.com/sobb/sobb-04.txt
2 F* N/ ^8 K5 t: q4 o% F*>
测试方法Sebug.net   dis
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
( i- H% E4 q, G7 j# q) H' `, M
, d) I! h' H8 v  t6 K" O8 C7 n