漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中. |& p5 K4 `2 p; |: [4 [. ^
^8 Y. t( s' r( j2 v$ i. o- Z6 ]+ L6 b& W2 \
-2 U6 X; S% q1 L3 D
& O% y$ B" [# _
: _$ u7 N, y% I, V" l) K+ n
漏洞版本:百度空间' T% i0 d, p0 s( K" M3 Q
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
0 m/ ^& o. h1 l# v/ {* y, U& J% p
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.) x5 n0 P$ u$ _3 y3 v
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中. A$ b$ R- l+ k6 D9 r6 M" s
. H" `+ i# b* A5 S将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>: d9 x. U7 j* Q
其中BdUtil.insertWBR为
O+ T. y2 T/ a3 _% [function(text, step) {* i/ d$ l% m1 L" @" e2 n& Z
var textarea = textAreaCache || getContainer();' r+ ^* M+ u) @- d1 V+ l, t# W( B
if (!textarea) {# t( E3 b# g) I9 P% A. M" F
return text;
) K- m0 y) k; H, `5 f3 k' u- s }
- ? Z \2 T) e7 N) t0 ^( ~ textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");1 X/ |. Y8 [% o6 j
var string = textarea.value;2 u$ ^! H+ P; Q# Y
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
! i0 ~1 E4 ~" c" n. [! p; L$ f var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
7 Y7 X) d% z! Q+ n% q. ]# R return result;
% r9 w1 D `* |. K( ?}
6 e* C. w6 j- ?3 E8 w+ m1 I7 ]在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考4 V& }2 F, U( i2 m c6 x
http://80vul.com/sobb/sobb-04.txt+ G# J) s' g$ f' c
*>
& t" X' C3 O8 T X$ I: H$ d测试方法 Sebug.net dis( R( h% A! C: I. k- N9 U
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!, ?5 B5 s) H8 q- h9 M0 k
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
N) P. w+ e0 r: j) q
( ~4 i/ T& i2 s6 i |
发表于 2012-12-31 10:19:08
收藏
支持
反对