Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1567831
  • 博文数量: 157
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 4116
  • 用 户 组: 普通用户
  • 注册时间: 2013-06-14 18:26
文章分类

全部博文(157)

文章存档

2014年(67)

2013年(90)

分类: 网络与安全

2013-07-10 16:38:25

该漏洞是在傍晚时发现的,大概在晚上12点的时候被修复了
事情的起因是我一同学在百度知道上看到一个很奇怪的,正文带有连接的提问(这里),正常来说,这种情况是不可能出现的。

我条件反射的想到了:XSS漏洞。出于好奇,我决定探究这个漏洞

 
 
通过查看源代码,我马上发现了问题的根源:未结束的标签。
 
帮我写一个能提取
 

我姑且猜测可以插入
标签,于是尝试插入a,结果和我预想的差不多,被过滤了。

 

 

如果标签不完整呢?没用的,会被转义。

 

 

到这里,回头仔细想想,为什么之前的标签没被过滤,而后来写的却被过滤了?对比之前的和第二次尝试,区别在于,第二次提交的标签href属性的url地址是完整的, 而之前的只有http://。

至此,我大概能猜到这个漏洞是怎么触发的了:一个不完整的标签 + href="http://"。

既然已经确定了怎么触发漏洞,接下来就利用漏洞做一些出格的事看看。既然标签可以被保留下来,就可以在属性上做文章。于此同时,我的那个同学已经在尝试使用style了

 

利用style="color:red"改变字体颜色

 

 
这时我不禁邪恶了下,打算做个出格点的
 



如此,页面已经面目全非了,并且添加了onclick事件。

 

好了,到此为止,如果别有用心,继续探究的话,完全可以由此对整个百度知道页面实施大规模的XSS攻击。我很想向百度知道的后台开发组反馈这一漏洞,但却没能在百度知道的页面上找到相应的渠道。是有那么个意见反馈区,但只是个贴吧,估计我在里面反馈只会被认为是疯子。

 

最后,对漏洞的成因进行猜想。事实上已经很显然了,只是一些逻辑错误。百度知道后台涉及有两次过滤(在当前讨论的问题中),第一次对url用
标签包含起来,第二次将html特殊字符进行html实体化。百度知道的奇葩之处在于不是先进行html实体化,而是先处理url,当url处理出错时,html实体化也相连出错。
阅读(2143) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~