百度空间Xss漏洞

admin

漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
& |- f4 ]% X0 E

-

　　
漏洞版本:百度空间
* x9 R5 t2 m' M% w) V. w% `  G$ I漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
, z2 D( w+ q8 k7 x7 S3 a& @3 O
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
" C9 a1 E! y2 p: Q/ l2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
  o+ t- T, a2 a, s, v! P9 Q) V
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说：</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
+ Q$ H7 |" Y( d  e4 Q' p其中BdUtil.insertWBR为
function(text, step) {
; N. q+ b9 R8 B+ Y. Z. `/ S    var textarea = textAreaCache || getContainer();
0 [8 A5 V; \) g# F; K. }9 y; C    if (!textarea) {
        return text;
% C3 S3 I0 v! M! D' l5 D    }
7 B1 E- A0 ?( K    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
4 k6 y  O* C2 m! }    var string = textarea.value;
    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
* A- u4 Z4 n; c4 Y# z2 u: }    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
    return result;
}
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
http://80vul.com/sobb/sobb-04.txt
*>
) Y1 C/ A, ~7 v: d# P测试方法Sebug.net   dis
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
; X3 n% M2 Q/ o. Q4 X; E7 U- h1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁

- O3 O( X) M" h+ q& Q1 E6 Z& p