百度空间Xss漏洞

admin

漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中

* u8 `5 g$ b  @% {. H( X
-
, ?& C% ?* b7 F6 O8 m
　　
6 O; `  n* P- [- l$ Q/ O- U$ M4 v8 L漏洞版本:百度空间
* P. y' U& ^& x0 y: X% B漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.

4 P3 I5 H1 t' M4 {+ U' I1 s, i1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
# e- t, a; F! E/ ?. l5 d2.在http://hi.baidu.com/ui/scripts/pet/pet.js中

, d, H7 [! w0 t6 o4 q* v: q将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说：</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
其中BdUtil.insertWBR为
function(text, step) {
' X2 _/ |4 y' o9 Q/ W    var textarea = textAreaCache || getContainer();
, L7 R3 m! F/ D: }  w2 T4 w1 }    if (!textarea) {
; ~8 Z- \: Q9 [/ y+ m1 G        return text;
( |7 q: N, }, o( H4 C    }
9 y$ v! v8 o6 n% R, P' Z    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
    var string = textarea.value;
    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
. Y; P9 Q+ k4 b8 K' n8 ~    return result;
' ]$ k, C) S8 s7 G0 M% ?$ ?0 o; U}
. J5 H; e) [; @/ k% m在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
http://80vul.com/sobb/sobb-04.txt
' y7 D7 f9 J% z9 p*>
测试方法Sebug.net   dis
7 S4 {5 H" T# o8 A2 k本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
4 M: J* \* o- l' v* r5 u. X9 _) x1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
8 }0 F& y6 J& g$ Z+ O& m* x
4 m1 W, C0 v0 i+ u% x