事情的起因是我一同学在百度知道上看到一个很奇怪的,正文带有连接的提问(这里),正常来说,这种情况是不可能出现的。
我条件反射的想到了:XSS漏洞。出于好奇,我决定探究这个漏洞
通过查看源代码,我马上发现了问题的根源:未结束的标签。
帮我写一个能提取
我姑且猜测可以插入标签,于是尝试插入a,结果和我预想的差不多,被过滤了。
如果标签不完整呢?没用的,会被转义。
到这里,回头仔细想想,为什么之前的标签没被过滤,而后来写的却被过滤了?对比之前的和第二次尝试,区别在于,第二次提交的标签href属性的url地址是完整的, 而之前的只有http://。
至此,我大概能猜到这个漏洞是怎么触发的了:一个不完整的标签 + href="http://"。
既然已经确定了怎么触发漏洞,接下来就利用漏洞做一些出格的事看看。既然标签可以被保留下来,就可以在属性上做文章。于此同时,我的那个同学已经在尝试使用style了
利用style="color:red"改变字体颜色
这时我不禁邪恶了下,打算做个出格点的
如此,页面已经面目全非了,并且添加了onclick事件。
好了,到此为止,如果别有用心,继续探究的话,完全可以由此对整个百度知道页面实施大规模的XSS攻击。我很想向百度知道的后台开发组反馈这一漏洞,但却没能在百度知道的页面上找到相应的渠道。是有那么个意见反馈区,但只是个贴吧,估计我在里面反馈只会被认为是疯子。
最后,对漏洞的成因进行猜想。事实上已经很显然了,只是一些逻辑错误。百度知道后台涉及有两次过滤(在当前讨论的问题中),第一次对url用标签包含起来,第二次将html特殊字符进行html实体化。百度知道的奇葩之处在于不是先进行html实体化,而是先处理url,当url处理出错时,html实体化也相连出错。