百度空间Xss漏洞

admin

漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
. G+ j) t+ C0 r( M( I" s  m' r

8 q% ^, C2 i: S% l; @-
: L# ^, P9 q& A7 f. H) M8 S
8 y7 s' K$ P; Y4 v1 r( ?! d6 B　　
5 a% M- M/ ?) z& H" D' e) U3 }8 d# D漏洞版本:百度空间
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.

& l- [; F7 \( o7 B: y1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
% {& J' l0 {. v  M0 x5 c2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
2 Y/ N0 R6 H4 O1 E9 g' z7 C
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说：</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
其中BdUtil.insertWBR为
. y3 R& Y" B- [* I6 Z" U( zfunction(text, step) {
2 {& {5 J2 \2 _9 [    var textarea = textAreaCache || getContainer();
    if (!textarea) {
        return text;
    }
    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
    var string = textarea.value;
1 ]6 t: m5 q: Y3 x9 I    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
: w/ H3 U5 X6 a; _  x% l% e7 @0 `    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
    return result;
. x/ F2 E7 l4 C}
3 L) ]% \3 V* I0 Y$ l- S% }在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
http://80vul.com/sobb/sobb-04.txt
2 U* v9 ~8 S' q. x, c' x; ?*>
测试方法Sebug.net   dis
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
! {6 k4 x5 G0 `2 Z  D# }