百度空间Xss漏洞

admin

漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
0 U" C6 s( j$ i$ K: a* a1 w  T

, y/ }* Z7 @+ _* ?5 a6 e4 V-
8 G5 A3 _& V+ `; N! C( p
　　
$ x( J, N  x& O9 v漏洞版本:百度空间
) w$ G' F9 o3 D& |5 T+ V6 k3 W漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
) \0 Y# A: S' C/ M3 M$ L- a
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
; Y' a# K, K8 y4 ?' K# ]; J* r2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
6 s( t- o% A3 Y; C$ B! p
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说：</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
7 ]$ `6 E, Y# {: g其中BdUtil.insertWBR为
function(text, step) {
5 L: j/ g( ^9 p6 ^  E. |6 p    var textarea = textAreaCache || getContainer();
    if (!textarea) {
        return text;
    }
7 y/ L+ X. \- i* i7 i& y# f6 ]& ?6 k! u    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
. ?5 A9 P2 Q- c+ o! e5 A5 ]    var string = textarea.value;
    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
( U& s6 o0 |! r3 B5 P( H- J) W    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
7 e" q% r4 X5 \/ D0 ?    return result;
2 t# h4 y: h& m9 }, z: V- J- Y}
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
http://80vul.com/sobb/sobb-04.txt
& P% K) F1 T! A3 p' o2 ]0 W$ P+ o*>
9 D8 c! ~2 d5 n测试方法Sebug.net   dis
9 A4 f! F' v( W! M! n: M本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
+ t" E) m) {  E5 g% e# }/ J1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
/ J+ T3 g8 V$ ]0 |6 a