该漏洞是在傍晚时发现的,大概在晚上12点的时候被修复了。
事情的起因是我一同学在百度知道上看到一个很奇怪的,正文带有连接的提问(这里),正常来说,这种情况是不可能出现的。
我条件反射的想到了:XSS漏洞。出于好奇,我决定探究这个漏洞。
通过查看源代码,我马上发现了问题的根源:未结束的<a>标签。
<pre class="line q-content mt-10" accuse="qContent">帮我写一个能提取<a href="http:// " 引号中超连接的表达式(只需要http打头的即可,谢谢</pre>
我姑且猜测可以插入<a>标签,于是尝试插入<a href="http://www.baidu.com">a</a>,结果和我预想的差不多,被过滤了。
如果标签不完整呢?没用的,会被转义。
到这里,回头仔细想想,为什么之前的标签没被过滤,而后来写的却被过滤了?对比之前的和第二次尝试,区别在于,第二次提交的<a>标签href属性的url地址是完整的,而之前的只有http://。
至此,我大概能猜到这个漏洞是怎么触发的了:一个不完整的标签 + href="http://"。
既然已经确定了怎么触发漏洞,接下来就利用漏洞做一些出格的事看看。既然标签可以被保留下来,就可以在属性上做文章。于此同时,我的那个同学已经在尝试使用style了。链接(已失效)
利用style="color:red"改变字体颜色
这时我不禁邪恶了下,打算做个出格点的,链接(已失效)
<div style="background-color: blue; color: red; font-size: 64px; font-weight: bold; 1024px; height: 1024px; position: fixed; left: 0; top: 0;" onclick="alert(1);" href="http://" 哈</pre>
如此,页面已经面目全非了,并且添加了onclick事件。
好了,到此为止,如果别有用心,继续探究的话,完全可以由此对整个百度知道页面实施大规模的XSS攻击。我很想向百度知道的后台开发组反馈这一漏洞,但却没能在百度知道的页面上找到相应的渠道。是有那么个意见反馈区,但只是个贴吧,估计我在里面反馈只会被认为是疯子。
最后,对漏洞的成因进行猜想。事实上已经很显然了,只是一些逻辑错误。百度知道后台涉及有两次过滤(在当前讨论的问题中),第一次对url用<a>标签包含起来,第二次将html特殊字符进行html实体化。百度知道的奇葩之处在于不是先进行html实体化,而是先处理url,当url处理出错时,html实体化也相连出错。