漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-016611
漏洞标题:百度知道某疑似xss漏洞
相关厂商:百度
漏洞作者: D&G
提交时间:2012-12-27 22:07
修复时间:2013-02-10 22:08
公开时间:2013-02-10 22:08
漏洞类型:xss跨站脚本攻击
危害等级:低
自评Rank:5
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-12-27: 细节已通知厂商并且等待厂商处理中
2012-12-28: 厂商已经确认,细节仅向厂商公开
2013-01-07: 细节向核心白帽子及相关领域专家公开
2013-01-17: 细节向普通白帽子公开
2013-01-27: 细节向实习白帽子公开
2013-02-10: 细节向公众公开
简要描述:
百度知道搜素结果过滤不严
详细说明:
http://zhidao.baidu.com/search?lm=0&rn=10&pn=0&fr=search&ie=gbk&word=%3CSCRIPT+Language%3D&f=sug
如图,要搜索<script> 或者类似的关键词,让最佳答案里的语句刚好出现。貌似这个地方破坏了网页的代码。后面的问题都显示不了了,使用的chrome浏览器。所以搜<script>这个关键词不行了。可以构造一下新的关键词,让类似<iframe frameborder=0 src='http://tieba.baidu.com' width=0 height=0 scrolling=no></iframe>");的代码刚好出现在搜索结果中。
由于百度知道的审核系统,测试起来比较麻烦,需要多个帐号,构造看起来不像垃圾问题才可以发布成功。所以我没有测试成功。。。。
漏洞证明:
修复方案:
版权声明:转载请注明来源 D&G@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2012-12-28 16:51
厂商回复:
感谢提交,我们尽快安排处理。
最新状态:
暂无