漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-049577
漏洞标题:重访百度旅游之存储型XSS漏洞
相关厂商:百度
漏洞作者: do9gy
提交时间:2014-01-22 18:50
修复时间:2014-03-08 18:51
公开时间:2014-03-08 18:51
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-01-22: 细节已通知厂商并且等待厂商处理中
2014-01-22: 厂商已经确认,细节仅向厂商公开
2014-02-01: 细节向核心白帽子及相关领域专家公开
2014-02-11: 细节向普通白帽子公开
2014-02-21: 细节向实习白帽子公开
2014-03-08: 细节向公众公开
简要描述:
之前百度旅游刚上线的时候发现过一个存储型xss,当时还因为这个把我帐号列为危险帐号不允许回帖了.不过最近又发现了一个 :)
详细说明:
这个xss位于个人中心,设置,更换背景.
更换背景时抓了一下包发现提交了两个参数,第一个是pic,也就是图片的链接,第二个是token值应该是和防止csrf之类相关的吧.
pic=http%3A%2F%2Fhiphotos.baidu.com%2Flvpics%2Fpic%2Fitem%2Fb7fd5266d0160924bc88527dd60735fae6cd3422.jpg&bdstoken=73c32f6354ca3fdf81297a3de51c07c9
好奇心比较强,试了一下发现可以任意修改空间背景.只要将图片的url替换即可.但是还不满足,继续试探一下,发现图片链接在页面中的位置位于<section id="body" class="user-background" style="background-image: url([here])">
中括号内.
这里一开始想直接提交)"><script>alert(1)</script> <(" 闭合一下即可,不过服务器对双引号和尖括号进行了转意.这里就比较鸡肋了.于是尝试提交:
http://www.baidu.com/img/bdlogo.gif); xss:expression(alert(1)); a:(
发现已经完全嵌入了,鸡肋的是这样就只有低版本的IE浏览器才能触发了.
漏洞证明:
修复方案:
修改图片的时候只需要传递1-9几个数字,然后服务器端绑定数字对应的图片url即可.
版权声明:转载请注明来源 do9gy@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:4
确认时间:2014-01-22 19:38
厂商回复:
感谢提交,低版本IE已经近于淘汰,影响范围较小。
最新状态:
暂无