百度首页反射半自动存储xss

编号20415
Urlhttp://www.wooyun.org/bug.php?action=view&id=20415
漏洞状态厂商已经确认
漏洞标题百度首页反射半自动存储xss
漏洞类型XSS跨站脚本攻击
厂商百度
白帽子呆子不开口
提交日期2013-03-21 15:12:00
公开日期2013-05-05 15:13:00
修复时间(not set)
确认时间2013-03-21 00:00:00
Confirm Spend0
漏洞标签XSS 反射型xss 持久型xss Dom+xss xss利用技巧 存储型xss html5 localStorage 应用程序后门
关注数0
收藏数0
白帽评级
白帽自评rank5
厂商评级
厂商评rank3
漏洞简介
如果中标方是个有文采的互联网达人,此人会立马在微博上惊呼“天呐,360搜索加入了百度的阿拉丁计划”
漏洞细节

chrome和ff下有效,IE没测,需要百度用户在登陆状态下
百度首页搜索汉字超过两个后,会把搜索内容及拼音写入浏览器的localstorage,当你再次搜索类似的词时,会在下拉框自动填充,但在当你输入的是字母时,自动响应出的汉字对应内容没有进行html转义

baidu.jpg


我们可以很简单的iframe一个构造好的搜索结果页来让用户浏览,如

<iframe src='http://www.baidu.com/s?wd=%E5%BE%AE%E5%8D%9A%3Cimg+src%3D1+onerror%3Dalert%281%29%3E' width='0' height='0'></iframe>
<img src=美女高潮图>


以后当用户再搜索或误输入"weib" "weibo"等字符时,就会执行我们的代码
这个漏洞比较难利用,可以写入localstorage的搜索内容有长度要求,可利用部分很短,自动填充用的是innerhtml,<script>无效。但由于每次可以显示两条,所以通过两次拼接,还是可以实现弹窗钓鱼或者转向广告业恶意页等,还是有一定危害。比如如下代码

<iframe src='http://www.baidu.com/s?wd=搜索<img+src+onerror%3Dlocation.href%3Da>' width='0' height='0'></iframe>
<iframe src='http://www.baidu.com/s?wd=搜索<img+src+onerror%3Da%3D%27%2F%2Fso.com%27>' width='0' height='0'></iframe>
<img src=美女完事累坏了图>


访问这样的页面后,以后在百度搜索框里只要敲"sous""sousu""sousuo"等都会跳到360搜索,如果中标方是个有文采的互联网达人,此人会立马在微博上惊呼“天呐,360搜索加入了百度的阿拉丁计划”

POC

如上图

修复方案

localstorage里的内容放入页面中时,做html转义
另,最好是能做到识别出,是用户主动搜索的内容才放入localstorage中

状态信息 2013-03-21: 细节已通知厂商并且等待厂商处理中
2013-03-21: 厂商已经确认,细节仅向厂商公开
2013-03-31: 细节向核心白帽子及相关领域专家公开
2013-04-10: 细节向普通白帽子公开
2013-04-20: 细节向实习白帽子公开
2013-05-05: 细节向公众公开
厂商回复感谢提交,马上联系业务部门修复!
回应信息危害等级:低漏洞Rank:3 确认时间:2013-03-21 15:27
Showing 1-16 of 16 items.
评论内容评论人点赞数评论时间

...洞主高手,有时候就是需要细心,每天我们也能看到关联搜索- -

Ska02013-04-20 18:53:00

厉害,学到了

DM_02013-04-20 17:00:00

@_Evil 擦,竟然被你猜出我是个GAY

呆子不开口02013-04-12 11:47:00

@呆子不开口 你是个有想象力+细心的男人。

_Evil02013-04-12 01:27:00

test

呆子不开口02013-04-03 01:23:00

这个名字有意思

possible02013-04-01 09:18:00

?<script></script>调用腾讯的urlcheck这个吗

retaker02013-03-23 00:03:00

碉堡了

erevus02013-03-21 22:25:00

卧槽。。

dtc02013-03-21 17:54:00

洞主绝对是乌云里相声说的最好的一个,没有之一。

易水寒02013-03-21 17:05:00

百度首页!!屌爆

围剿02013-03-21 15:47:00

@小胖子 这是一种进步,要让用户有参与感,不能只顾自己玩的爽

呆子不开口02013-03-21 15:29:00

@梧桐雨 我帮管理员打过飞机这事我会到处乱说么

呆子不开口02013-03-21 15:27:00

全乌云精华比例最高的白帽子,围观下

梧桐雨02013-03-21 15:20:00

反射半自动

xsser02013-03-21 15:13:00

手枪步枪有半自动,尼玛XSS也半自动?

小胖子02013-03-21 15:13:00