漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
' ]4 s7 r$ ~! \% g. [2 `$ V
' T& [, \* M" ] G7 ~
0 n$ J, V! Q9 b% c& l-
. X8 I$ E3 l( r5 }
& \+ f8 D7 i5 H9 |& z/ a( U
' R* N5 n" X6 i9 L6 S* W+ @* T漏洞版本:百度空间
5 i0 }: `* c! I' a漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.- [; {, j% G1 L5 p
+ R/ W& ]. ?" _3 N* L n- S6 {1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
O9 A$ a& L, [! c; a2.在http://hi.baidu.com/ui/scripts/pet/pet.js中9 Z" R* i% A7 D
# h" U) o8 ?) a: ]8 H将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
" ~7 S- `# i$ d! R& H# I其中BdUtil.insertWBR为* Z3 i; ?' w% l1 F8 S
function(text, step) {
4 r8 \* p, u: H' z. |5 K, b var textarea = textAreaCache || getContainer();% X z8 _% _( a: q7 |! ^
if (!textarea) {( R& F0 z. @0 K5 B: z8 V+ \9 s
return text;
2 z! X9 ^ j' d# k. k$ N: ? }" x( u: {7 J) ]5 k
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
! D0 z ^! L" {+ z var string = textarea.value;( A8 i! f o2 ]- S
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
* X! V- ~0 T; U- \" E% e4 J1 W var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
2 A; \: W4 d9 ~ z8 x0 B return result;
( G5 |1 N1 k2 C; `}/ X' D# M e. A' y2 q8 F9 x& P, [: b
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考( N' ~, g/ j! f* R* W# r7 C
http://80vul.com/sobb/sobb-04.txt
/ H7 T& q& i* Q) b*>
. n# l( J* s3 r; Y7 `测试方法 Sebug.net dis) w \/ S! w# y5 Q# U
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!9 E n5 h6 ?) X8 v3 i
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁+ t5 f! u9 g: C, n) H9 |" |
7 D; L8 Y" p' N& O
|
发表于 2012-12-31 10:19:08
收藏
支持
反对