漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中 ~' d! g; U* `0 g) F4 n! a
0 g$ k8 g; D# @, K; f( I+ ]3 o6 `# e$ F. H
-3 t; U, I& b2 \# r# P; Y& _
, k3 e! _, W! T0 K1 s 5 z) e9 i S8 P# H, }$ M. z/ H; V
漏洞版本:百度空间
1 }/ J4 ~1 }' f, c3 e+ _2 U漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
6 Q: j6 b5 H- z8 |$ s% x/ u& ?) |2 l, K- O
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
$ z3 |9 r' w, ]; D& U! C, h+ m: j2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
. M" S- C# ^) Y' @0 p% c3 ]1 b4 ^4 O4 e [, T5 N% M3 O" b
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>6 n2 ^8 }6 C" H7 y4 p6 }# A
其中BdUtil.insertWBR为
( l: j0 @" P: i2 z/ q7 Lfunction(text, step) {
5 O& u+ X$ o$ `3 D var textarea = textAreaCache || getContainer();7 _: k9 q7 N) X
if (!textarea) {
' f! H, }6 H, _1 R; k. _" S0 z1 z return text;
# \/ |2 o% Y, {2 v+ t8 a8 t" ` }
; A3 K/ T0 S+ T& } textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
8 P+ c5 H, i+ V2 } var string = textarea.value;+ D6 U6 P" p1 O
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
% g& y9 F8 r- Z7 |) v7 R var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
2 W* E+ f& O/ V+ n2 A" d return result;; u" @. u# G; W! w& o
}
) t6 b+ a7 a3 S+ Y9 J在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考 V0 V9 G5 y* r4 j6 u! m1 t
http://80vul.com/sobb/sobb-04.txt' {; [' E1 v' \! g6 @
*>6 p, u4 \5 U$ t" b3 ^3 N
测试方法 Sebug.net dis" m; f; S2 t$ [% c/ p
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!8 {$ I+ I& \2 d2 h r1 T) z. k2 S- W
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
6 x3 N1 T2 ?: z: x3 ^! ?5 A' Y5 ]2 ~7 Y0 ^9 Z, ~
|
发表于 2012-12-31 10:19:08
收藏
支持
反对