漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中5 b$ X' c6 c1 K7 g+ ^5 y$ z! o
# a5 ^; S) L% N$ b5 q9 g
+ \' S3 x0 ~9 G$ |" v7 }$ ~7 P" u-
6 R! g3 w/ X" A- S6 f9 v
/ Y, u; Z2 c% h* ?2 ^2 n0 q % L& t& M3 e3 r* ?4 {
漏洞版本:百度空间4 F9 ^4 V3 f; ~* I
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
* T4 L; p1 P7 I6 a2 H) ^) X+ i( ^. C, u: b$ ^/ ^" h8 J( i
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
( R! `' z. @: r& U+ H2.在http://hi.baidu.com/ui/scripts/pet/pet.js中/ U( w7 O7 R9 B, ~6 \+ X
7 j, B( z9 I; O i; E& V
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
2 z& y( E' x' @* {! ~其中BdUtil.insertWBR为
& Y. }# r" y' G4 bfunction(text, step) {9 u8 f7 z! z: o+ y w
var textarea = textAreaCache || getContainer();7 k8 H0 ?9 z/ V$ t
if (!textarea) {
' ? Q/ m0 y& v9 N+ s return text;" c; u/ @/ {& S, u/ m% S
}4 U+ ], g; O1 e3 t0 I
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
- }# a: ^2 k! o; }& U var string = textarea.value;' I% `2 z+ p+ ?$ ]! e' H6 l
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");* {, s, j3 ? y( f
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
$ _. y% O7 ?- M! j/ \$ U: ]% v return result;8 i1 d% ]; t3 X) W; o
}: j8 i* o7 W1 [* j% |
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
! w5 {5 }, R- `2 dhttp://80vul.com/sobb/sobb-04.txt
+ R/ l6 q/ \" g+ w3 y. v1 p*>
! R6 k3 Y$ C) \! ^测试方法 Sebug.net dis8 A% P6 Y& {6 \2 C
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
, _2 ^: ]4 i- I1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
. K$ H1 a; U1 {0 f2 ^. {
. g3 H) s- q/ R7 Z1 a: F; a6 V |