漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中( Y4 |% T2 C4 S5 l2 t6 c
$ e4 ~. z7 F" j, U+ G% O; N
* w2 V, o/ ~9 b8 K0 S t
-& C. R) J0 R \8 t
3 _2 ?* G8 J4 p- ]
: F0 _8 P) i, X6 Z5 T3 Y漏洞版本:百度空间, n3 V) m d9 e. p/ i0 m. A9 r
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.- {9 y3 ^! c# ?
+ e( ^; K# [9 U6 P1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.4 J! _& o/ w# p4 O
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
8 V( I- y+ s6 S, M! G- l
, e4 C- @6 Y& {将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
7 C+ P) U" O6 O W* u; i其中BdUtil.insertWBR为
4 m3 }" s c5 w+ J3 x7 w9 efunction(text, step) {
) u3 Z: g9 I; ?! w! w var textarea = textAreaCache || getContainer();8 b& b, i, W0 N
if (!textarea) {
* E9 _" n! Z* A3 U+ b return text;* q/ h2 g3 Z: V+ G( I. y
}
7 l. x& i- b9 U1 c7 k2 V textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");) T6 L$ j6 {! J! ^
var string = textarea.value;9 ]% U. _# [& A. G, X+ z9 ?
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
8 d" q6 K2 {$ C5 M' J var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
T/ n- K* q1 S. f6 ~ @, H, N return result;
5 _% k% N9 a8 P; A/ E3 J}- \' f0 [" `. v
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考5 z( B3 V% Q6 B H# X$ Z
http://80vul.com/sobb/sobb-04.txt, D w7 ~: c+ u) C( K
*>+ A7 e' |2 V( E7 u
测试方法 Sebug.net dis
5 V2 l2 C- Z1 X6 P0 J" g3 c& ~' H* I本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!1 V5 S2 x( R; E7 d& B* b
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁# J; r4 l* _* q: _
- W* f6 \, P/ } |
发表于 2012-12-31 10:19:08
收藏
支持
反对