漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中( N# v5 W. \' g/ y! ?
& ? |3 c8 n# Z; h u" L) _& b
2 P7 B2 c; v# G& L( w1 x-
: w8 W3 D4 ]( f4 y. `. }' @+ j3 F6 |- v; @& y) z
1 G2 p% k4 K+ ?' {; g' r. E8 D漏洞版本:百度空间
7 _, b e9 _ [漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.! q9 R" j0 g" a% K8 P) k
- q! K! \0 ~& d7 K. ~, b
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
/ V; J a; O: S5 l: i0 E8 N2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
1 y# D% S+ ^: J# n
* A; y7 }' Y! o+ Q* h; `将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p># x3 D* G* E# L4 A0 m( R
其中BdUtil.insertWBR为
: b L9 S' X @1 ?, ~9 Wfunction(text, step) {3 u- h' q! Q( F! J9 e! X
var textarea = textAreaCache || getContainer();
; Z) {3 q7 I2 j1 i3 d; j$ @+ ?& ^/ x if (!textarea) {
: w# ]7 }' k# Q/ j7 ~, D return text;
9 i1 t$ w4 S" a7 O1 ]' c }
+ q- l$ I! ]4 P, }0 a textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
v; [/ G" N4 \( q1 G$ {4 b0 l var string = textarea.value;
1 E% r, }( D* ^( n+ c$ ^ var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
( ~6 }, X2 X& z6 w# L9 h var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
6 R6 p$ p2 Z- d& U% Y! u. T2 t return result;
9 u1 ]8 S' B t' P}' n2 D5 K: W/ b
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
% O8 U! Q) [6 Ohttp://80vul.com/sobb/sobb-04.txt
- ?! i. ^* b" m9 u- I( G# d7 b*>
/ l3 m' e8 `6 i测试方法 Sebug.net dis! H$ u0 B5 @: W) k5 k
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
' T" o4 [; ~8 r1 r! v; ?1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
. P- t9 f/ @2 Y8 U# ~
, Z z: m& v1 D6 c( y C$ j5 T |
发表于 2012-12-31 10:19:08
收藏
支持
反对