漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
/ ?; w) l6 Z, ]2 ^8 Z# \# q4 ~! a5 G$ `$ z3 V. L
. F _) }$ P% \& Z% X+ \. Y-
1 q0 w# d0 S6 Z1 ~! Y$ A; H$ R# h* D; ~. M
7 i! r) w! n+ |, \漏洞版本:百度空间! w6 i( H$ n5 O) p2 P
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. V5 b$ U) T- M6 w2 Y
1 t: w2 T* c) h8 ^+ v, h1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.* j% W, E5 I5 U
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
& V7 O1 x" \, G# {7 r4 k& n- }2 j# _: _/ k
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
, K. w# c0 M; u6 E9 J其中BdUtil.insertWBR为
9 D, n% r; s% b4 ?* p) U" {function(text, step) {7 R t# F% t- ?! @" e5 }
var textarea = textAreaCache || getContainer();
P# t0 m! m! ?8 o if (!textarea) {
: I+ m& J |) L return text;1 l0 i7 q7 d5 [, c9 }
}% o+ f# u" ]0 }7 X# q* ~: ~
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
$ `( B5 w; N1 z5 c `: s var string = textarea.value;
: i+ M! T0 p# o8 s6 [4 r4 m var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
. i; d) I: c5 N. b* q# @# _5 h var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");( e! _4 [; K7 g6 f
return result;
% a& K$ E7 U9 [}
( V; N' S r& S) B* p在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考+ ]! Q1 I0 f7 o& y
http://80vul.com/sobb/sobb-04.txt
$ [0 Z+ W! {5 X1 x8 E9 A. n6 F1 W*>$ L/ O' {7 X8 f% ~ A4 }: P/ t0 g
测试方法 Sebug.net dis9 G" C E. V& @9 _5 Q. I+ o; h3 ^7 T
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!# ~: l2 F$ X( K5 o2 q
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁/ R [, e2 f6 _1 x) w! {
9 s ~9 ?. w. T w) u2 Q
|
发表于 2012-12-31 10:19:08
收藏
支持
反对