漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中3 s; m4 Q4 E& h: v
2 l) y8 V2 v- f" n# v( F
$ ^9 c" O! ^4 g% t0 [# b( X' l-
. B6 l- q0 q$ Z7 G* K% Q' e) a$ y8 f- T" y$ |9 H
# }8 H/ u6 d6 `. m+ z8 U& n7 }
漏洞版本:百度空间* J1 G8 v4 C* U7 R4 K
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
/ v4 k/ H+ g4 L' \- M
, v- e8 Z7 q* Z1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.( G% w) L- V+ r6 l% @
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中. X( u( x4 E' Q6 U
" X' L% u/ A M( {# r0 N- r9 t) s将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>' y% ~' W' ?5 ?3 O$ E \6 n/ x
其中BdUtil.insertWBR为
' | L, \) J6 J6 y# ^function(text, step) {2 P% W* Z. j* f
var textarea = textAreaCache || getContainer(); d& ?6 C8 w8 M
if (!textarea) {8 P9 [4 @1 W. t7 ~% n
return text;0 S! \) P! C9 `- N- D
}
Y+ s$ r x" t+ y7 [: i0 v textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");! O3 K$ b5 G q' e& o
var string = textarea.value;) [* S- [3 L) l2 s$ g. n5 x+ Z
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");& @$ z6 p/ j5 i4 G! i, t7 E" C% O5 p
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
' g4 @6 e/ S6 q0 v( k return result;2 L( h; ^/ G/ i) w) c* h9 U
}
, E' I; d* ^1 Y* T在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考" R, t( k$ r* k9 X4 l3 j
http://80vul.com/sobb/sobb-04.txt- p ~+ W% b5 _& m$ L
*>
5 u$ D+ L, d5 E* Q* ^- S测试方法Sebug.net dis
& r7 A" k1 N! C+ l' w2 ]: q本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
$ q' ~6 Y1 t: b+ O; c1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁& P( n$ y# o( _3 @, g1 B/ h
9 Y7 @( k z& L0 L3 Z- K |