百度空间Xss漏洞

admin

漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中


$ m' ~1 n6 @) a, @-
  A' l- b8 a+ {6 P& u+ ]
　　
) e* X  M: Q9 H5 m: G+ ^# M# k  D/ {漏洞版本:百度空间
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.

1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
5 V8 v3 B% |' s7 K. L
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说：</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
其中BdUtil.insertWBR为
function(text, step) {
    var textarea = textAreaCache || getContainer();
    if (!textarea) {
! \* x/ o) `7 g+ K7 S& p5 x  N. ^        return text;
  W9 A. n2 M- {; L    }
% ~" z3 a2 ?* V8 R% x& O    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
1 n4 M; r  A, c, B3 D) @    var string = textarea.value;
    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
/ Y! k* u7 I+ W8 i. u% ~, V# t    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
9 Z/ K* z% [& s2 G    return result;
}
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
http://80vul.com/sobb/sobb-04.txt
. g8 W% j- Y5 F4 ]- w7 ?  q$ N* V; W*>
  ]1 d7 U6 ?3 b) ]7 N4 T测试方法Sebug.net   dis
& g8 t8 }+ t7 s( B4 p. o本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁