漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
8 _9 h7 t- G6 ^" ~& ]: y$ \0 h# V; Q( |4 ~! V5 b" l1 i9 ~6 m
w( o2 z: e# \6 N
-2 |2 h$ ~( ?7 H9 `& m( c
# t9 C2 Z' m% y. m
+ G# y0 t* [' q) F0 J漏洞版本:百度空间
4 }# v, B5 D1 X" `+ d+ o! T3 Y3 @% N漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
1 }5 h* [4 o6 K+ ]2 s+ H( e4 ?- v9 v1 u: X- P
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.5 K, m# m# {& {6 G4 Y: g
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中' v7 k/ u( ~7 |6 }0 \8 O
$ z, ?' _8 u3 L3 ^将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
: l; x0 Y x6 D5 }7 {1 q) c其中BdUtil.insertWBR为. i: `2 k: U3 ~& a
function(text, step) {& S( w F' z2 g+ K9 c$ L- ^
var textarea = textAreaCache || getContainer();! x. X& X+ v0 O5 @" {/ A: E F
if (!textarea) {5 E a9 T' A# `+ l9 P/ q0 [
return text;( Z, S* O9 J$ O" d0 z% R
}! e$ u5 G# W/ i- }1 q( P7 ~
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
9 `8 s \! B& l/ z8 D, J5 _9 e var string = textarea.value;4 _" g+ }; `* n1 F& T7 Q1 r2 B
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
; Y" [* {) h# Y. t var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");. m8 o. Z! ~" a8 Q
return result;
& e9 k% d9 d' U# c8 o}
# ~3 q3 C% Q& p; {0 q! s7 y m9 ]在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考) N# i6 z/ m C
http://80vul.com/sobb/sobb-04.txt& q. o, { B+ S+ u, `1 @( Z+ ^
*>) T0 r& A/ X, |* \
测试方法 Sebug.net dis5 y4 L7 ^' T6 Z7 g! s/ @
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
( k( A+ Z- V/ I8 b1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁& `- R) t, _* d+ v+ t
4 P5 Z. C4 [* m. M- R, O1 K7 x
|
发表于 2012-12-31 10:19:08
收藏
支持
反对