漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
1 D8 S$ x/ V/ v: {% {# f% a' u4 o1 x8 K2 R7 i3 o4 D
* e/ |9 K. T9 V$ M8 u/ N, b, [/ L-
8 |8 n, t F+ _0 w5 U* H8 s- f' ]8 H" j" a3 ]! C
2 u5 T+ H2 ^0 c6 c漏洞版本:百度空间# V0 M [: s8 T2 ?/ V% m! \# E
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
) M2 O# T$ t# C* n! R
( T; j; Q7 X$ R) [9 l+ Y6 B8 L1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.8 U }" q1 r& q' g1 j
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
6 b q% S8 Y# \: ]6 Y7 O# v. Q% ]. A) H( [5 q
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>% P4 M |! |2 Y) n- V5 H
其中BdUtil.insertWBR为' [3 I7 |; H- i# ?$ v7 X
function(text, step) {: r# d% o! }7 _0 t6 B8 m2 M
var textarea = textAreaCache || getContainer();
, n6 S" W4 ]4 Q; Q0 c2 d if (!textarea) {& \) i% A2 F, B' S5 B/ o& _
return text;
( c, ]6 s% k* P1 C) k7 a c7 s }- F# n8 O- ]: i5 L- T
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");1 f( }7 H% G" r( {5 d9 X
var string = textarea.value;5 L7 W0 ~& M# W4 c( C! X8 u7 @7 \: g F
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");7 u0 c" S; N3 ?2 J
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");" U) T2 a: K- E$ }
return result;
4 G( t0 }; A' @9 u& Z6 ]3 Z}
1 h( x# ~3 o6 f! _* a在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
7 z! X: j+ k* Ghttp://80vul.com/sobb/sobb-04.txt- f9 T5 \6 ]$ P& S6 I
*>
z b# j- H2 ~* r测试方法 Sebug.net dis
( H' o3 C2 a$ W8 D: R$ p$ c本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!! g# p' B x- }2 \
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁3 K( c" q; Q5 \+ Z5 g3 C
$ T R2 P$ q! [4 ` |
发表于 2012-12-31 10:19:08
收藏
支持
反对