漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中8 l* d" O$ x4 D7 B# ]* C1 {
. f9 S4 C! T' ]& }; n
" e9 w# p( i5 R6 W: X-0 ]3 x- Z D: ?- ]3 b* U+ g1 P1 V. m1 r
8 `$ }2 A- g) P" ~6 f: \# \
1 F3 ?( n7 G8 C+ s- G漏洞版本:百度空间3 \; v7 m( V1 g; a" h. q; o- c0 o P
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS., s7 f& s0 w& n, c" }
6 B7 k/ d Q0 a& O& a* s9 N
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.; M; i# D }8 f l
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
1 P$ d @. D. y n* D) l2 g- H( }% U( V5 m7 N- @" x% @
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
9 }6 R" F' R' e& U7 }) q( _9 M其中BdUtil.insertWBR为
* g+ U. v5 p) |( P4 \$ s$ e; hfunction(text, step) {4 i. m& D: Z- D# q) J, t0 x
var textarea = textAreaCache || getContainer();
, E# t- _1 y" N4 v1 c0 I, e% G if (!textarea) {& B0 L, Q- A) O( ]9 {! N! N3 \
return text;) k, g) I% r+ J ^) H3 m6 t
}
3 N" I- K8 c: _$ L4 a textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
0 T n( ]; R. g var string = textarea.value;/ Z( I: s% e8 E: \, ]8 g: Q' D/ ?
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
& B# @; {3 `0 M% G. l! ?4 V- d var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");7 u. h$ c2 G& n3 C5 g
return result;
$ W' S |1 x; w4 a}
$ @( C, m' O2 i# i& c) _在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
- J8 g: \ p4 f0 z/ B- ?+ Bhttp://80vul.com/sobb/sobb-04.txt' {/ J. d# h/ q5 R8 Y Y
*>8 H* S7 o! i! } T m. F
测试方法 Sebug.net dis. O! b& {# b( R% s+ F
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
9 U+ d n1 ]& S T1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
; l* w+ i+ a" U, U) a. `, V; F$ Q. y2 M
|