漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中; B7 c6 \, V' r/ d+ [
/ w2 b* Z, O2 L5 F1 G8 D6 H- e0 [) V# s! [1 v
-
x. P u- K) x. L$ b% K7 T3 A# }) t" o7 h
( u4 [% g# c/ v
漏洞版本:百度空间
) a6 ^- W5 \& q6 A1 M( t' p漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.9 j* \, [ I6 e3 @. H! q
5 l1 H, g0 L! l/ Z, V
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. T1 Z; |: b* t
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
6 b. y: O( l" ?/ U
& O& K% Z4 l/ G5 p! Y; Z+ P3 i将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>& P; [8 y' Z+ Q2 F1 v; o
其中BdUtil.insertWBR为- _: d' _- n7 t) Y* D( o
function(text, step) {+ O4 H# h) h% o' v1 K
var textarea = textAreaCache || getContainer();2 j4 |. D+ w9 q! t
if (!textarea) {2 x2 [! q) J" a- x5 o( ?3 l
return text;
b, c9 D7 H: u+ Q7 _ }
4 d! ~% {/ P* k# L0 j4 X$ f+ B u textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");6 I; V- q5 S. m! R5 x
var string = textarea.value;
3 e4 O" l! |1 b, \% ^5 Q' U var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");, S6 o! j! v3 g* ]
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");& x1 p: O+ _& W6 Y( s! L
return result;
* m+ v; X3 N: ?! [9 ~9 E' F}
, w# r. \- E3 p- v% R: z3 @在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
" V7 i4 V; R5 p/ W) C% M3 Dhttp://80vul.com/sobb/sobb-04.txt
- r: @( r: e( P% d9 C*>" H Y) g9 }# q6 z0 A. g* V8 X7 a
测试方法 Sebug.net dis
, [$ K+ `4 P, d# J本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!2 Q! S2 l! J1 ^3 x
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
& A# S% j, u* [2 \) a/ V- E3 e* P6 _8 E' ]- a6 w, ?
|
发表于 2012-12-31 10:19:08
收藏
支持
反对