漏洞版本:百度空间 漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS. 1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. 2.在http://hi.baidu.com/ui/scripts/pet/pet.js中+ m( W% m/ b1 T8 \7 g
1 o5 s% f' n- K: x/ ]: O
$ A& t. z9 |) i. }$ F& U-( W! ?4 o4 _1 L2 B" @2 o
* ?. L8 R7 l f. `. K9 n
" ^, }8 `9 Z$ [) b: c2 N; S$ }: }, R漏洞版本:百度空间
2 A/ W: J" v3 v' b5 ?漏洞描述:百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.$ ], l" z3 E6 [
0 y, e5 ]" F- o+ Y; @+ ^
1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.9 [7 O; [ O8 ?6 o0 r5 C
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中+ V$ ^, N& L) {6 g& L Y, M
( p' [& ~3 ?7 R
将输出一段HTML:<p style="margin-top:5px"><strong>'+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+'</p>
4 y2 M, y" p& x; ?% J其中BdUtil.insertWBR为
6 a5 } ^3 b' P; F: bfunction(text, step) {
' o- Z% c- ?/ u; _; F var textarea = textAreaCache || getContainer();! u) A4 B: |$ c; r) D- @! U- r
if (!textarea) {
& V0 Y; @2 Z) H& J; `8 {1 I- j0 g return text;
/ R& w/ j) D6 s5 t }! v( r1 j) N+ O& x
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");9 ~* @ w, M/ R
var string = textarea.value;
$ |. ]7 v3 O6 |" ? ^7 O/ P var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");/ S( N6 C! G% v% o2 f1 q
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");4 |4 K6 |: F& Z( f) ]8 a
return result;
9 g) h& w. U7 ?- N5 | m5 M1 P}$ s" M3 ?5 K& H9 Q6 ^" ]
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.<* 参考
6 I" j/ i9 M+ g6 q# xhttp://80vul.com/sobb/sobb-04.txt' r7 t7 Z/ o# P, D# X5 v
*>. i; c/ }/ S. L) q, m4 }
测试方法 Sebug.net dis
+ b4 {6 f# m( Y. h; C* e8 ?: \本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!9 s; P) }; F- k- D! `
1.宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>安全建议:等待官方补丁
1 Q/ S# j+ I* ]3 y* H2 f! |" b' f9 g' ^( e% `; }9 {6 x& O( v
|
发表于 2012-12-31 10:19:08
收藏
支持
反对