漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
1 ~" b+ M& f2 {8 `$ m+ F, N6 G3 t: n
0 A3 s! m9 _9 n
-
! W! P! R& T b5 Z6 G$ X9 f- L8 l* v- j2 e$ w I9 |
6 U: l2 p( c' l* h# F
漏洞版本:百度空间4 V5 P- E7 N {6 [2 B
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.3 y. k! b8 N' U+ f/ U. d
3 t! @2 y. E5 K6 d d1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.; N5 ?9 v |$ L; S
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中/ J' C, v/ l/ ?4 {: @. t1 C- t) S5 y
+ F% R4 w8 q% k( O$ z# j
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>) K& K% n+ p& E d# u
其中BdUtil.insertWBR为) X. } W5 j/ q- p) N
function(text, step) {" {5 [3 Y8 n. E
var textarea = textAreaCache || getContainer();$ B) h/ Q, N3 W0 W3 V9 k
if (!textarea) {' E' |5 A0 p6 Y, j* u
return text;* J0 d0 x$ c) O8 V
}7 P- M$ b0 J4 X4 ^( m q
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");. \8 j* K2 z! l) B7 H2 m
var string = textarea.value;7 I+ G6 W6 t2 A
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
/ _0 E% j6 d2 y1 f1 F' Q var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");" u, L: ]. m0 f* [
return result;% w D- H8 ~( ~1 P, C8 w; X
}
+ O a5 ?# Z1 @- _$ f在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
7 t0 k/ ?0 i+ q7 S- v/ d: Uhttp://80vul.com/sobb/sobb-04.txt% P% R R3 F1 l1 I4 ~
*>
- m" r" i4 f7 \. l( a测试方法 Sebug.net dis
' _ h' x: O0 p% R本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!5 Z6 q& e0 @: E- L
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
# j. v' R! q! b0 P9 A# V
( X: e _1 w. y* |, W |
发表于 2012-12-31 10:19:08
收藏
支持
反对