漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中! [: ]/ X/ n6 }: R0 F8 U, j
: g& R X/ a0 [$ o9 L5 v# z j
/ X" \6 V4 m! y6 g& y
-
! Y9 u% x7 G+ z J/ w ~
4 p/ p' x: I+ g% p8 Q 0 l# |6 Q) a% m
漏洞版本:百度空间( K/ T9 j1 w7 H% G
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
+ p- i6 E2 D3 H% ~/ Q# R1 e9 ]% j" h" N7 Z2 r+ L
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
( ~2 ~2 U0 l4 E3 m1 x2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
) O, b& v% L3 j
: I3 v% h$ W8 i I. O' Z将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>" m% P9 k$ e6 w0 g8 K
其中BdUtil.insertWBR为3 F8 z" r1 ]/ p5 _ o6 K
function(text, step) {
% H' I `: ~# V6 N5 J/ \- T var textarea = textAreaCache || getContainer();
+ T! d7 K1 X0 j# r9 V1 D, @. u) T if (!textarea) {
' S( E2 S m. c; S$ h ~9 _ return text;9 ]+ \ G# |( s
}4 R8 N, b! r/ L! X% I, }" L( ^/ c
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
. M; U, f- @% n var string = textarea.value;6 f" P0 i' \, u
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
/ f5 J7 O, f5 x& E! z var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");0 r* G7 W3 u5 t# g) s$ C! o
return result;
! p4 p7 A8 e# |- ` l}
* N$ G' P7 J3 d+ |7 H' }4 @在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考* Q E& T: x) x8 u( W! d5 Y
http://80vul.com/sobb/sobb-04.txt
" Z: H/ M3 H8 p# p*>
* C' A0 V1 P; R' o( m测试方法 Sebug.net dis
+ x3 c# R) |3 k3 ~; Z# W/ B; n本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!5 m$ h, S/ ]' ~
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁/ w3 R9 r: Q1 h9 r: m6 I: v
% p6 Z2 N4 v j0 G0 r4 l/ A d- i |
发表于 2012-12-31 10:19:08
收藏
支持
反对