漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中+ a! t2 Q# Q# T
5 y0 u5 z( T% E
2 z" P3 p& |% H. [0 K: F-
/ u5 Y; J- ?+ l/ l; n! M4 g
" N! N8 r, c; O# U
2 D$ n6 C3 w+ A4 G2 X0 s1 j+ Q漏洞版本:百度空间
5 L8 b' ~& T5 e4 \漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
, G5 a- y% E( D" ~. {" ^0 u& ]3 r+ o
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
4 e3 \ S; t# J1 K. B! v5 p3 [2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
) [+ k' B' v' c# F
) B. ^4 q, A9 o6 J. O- \将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
4 j6 c; I$ T7 l" f8 |& X+ T其中BdUtil.insertWBR为
; z- z' F( \/ D: ^- {) m% dfunction(text, step) {
! \1 E2 T8 T: T4 Z var textarea = textAreaCache || getContainer();
- ~( r5 g1 u- }' s% L if (!textarea) {9 k9 \# O7 @, ?$ c6 O( \) M
return text;: m7 d# S! U0 O7 Q; ^4 q; y' L: Z
}
' q# w* a2 Y( z8 ` textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");# Y5 q) o7 S! _
var string = textarea.value;" ?. ]% D% i9 L' U5 y. d6 H: {
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
@! {. X) f5 g$ k5 j+ u var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
. N' y0 H- Z- n0 U return result;
F0 e& _2 B1 Q- l3 X; |5 \}
! |( _& R9 R5 t7 O; i8 X在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考7 k7 F! q4 f. ^- N b I5 v
http://80vul.com/sobb/sobb-04.txt
; p0 |* w' v4 B/ x; Z*>
' O( M% W) l6 w测试方法 Sebug.net dis) f, j: J. `6 A- e c4 u0 e
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
1 m; J& t D, O5 j1 W1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
8 ?7 p9 E4 O3 k. A& ^9 n- _! j7 T% x
9 u+ U( L" ^) P% c |
发表于 2012-12-31 10:19:08
收藏
支持
反对