百度空间Xss漏洞

admin

漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
& z. w$ d  u. O6 p  G  _
7 F5 r& O+ q/ H, v" T
' t' Y+ Q5 g* b: y/ |( P/ q-

! `% K" i5 X+ b9 R3 s　　
漏洞版本:百度空间
漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.

7 K) j* O* c( h% k5 \: X  \1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
  r" |* `% A: g9 C3 n9 s8 s5 P6 {2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
: I/ n2 @- ^1 ~1 F! B) e/ w. V- S
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说：</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
: h/ U; Q' K3 }8 K0 X* H3 e其中BdUtil.insertWBR为
2 |+ Y2 n) n1 B1 \6 G3 F. pfunction(text, step) {
6 ?& ~. ?- C/ v    var textarea = textAreaCache || getContainer();
' m% N( v+ s8 u* V- B    if (!textarea) {
        return text;
0 s* p6 k! q. O    }
" G1 H0 X* g. Q7 P1 i    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
    var string = textarea.value;
% ^0 Z$ d0 q% S& r9 o! [! T    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
    return result;
% [4 \: E% j4 k6 O4 `2 L  Q}
5 L9 W3 j( j0 Z$ K/ |在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
. C3 a9 n1 U- Whttp://80vul.com/sobb/sobb-04.txt
3 y- ^9 u3 @% f9 S" ^' V*>
测试方法Sebug.net   dis
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
) m: e8 H: ]+ L- s. M% Q9 S1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁