百度惊险XSS漏洞

Admin 2020-02-04 236人围观 ,发现0个评论 百度xss

百度惊险XSS漏洞 Web安全 第1张

晚上在圈子也是被百度的xss刷屏了,用手机百度搜索script就会弹窗1

百度惊险XSS漏洞 Web安全 第2张

我寻思百度主要业务不应该出现这种问题的呀。我们来溯源一波攻击者是怎么让百度弹窗的吧。

先电脑访问m.baidu.com,然后在这里搜索script,还正常弹窗的

查看源代码搜alert,在这里发现了xss的playlod

百度惊险XSS漏洞 Web安全 第3张

我们看旁边,都是些引用了些外部地址和一些css样式。

看到那个播放次数24次,初步确认是手机百度下方推荐视频的锅。在细看一下旁边的代码

在这发现了视频的地址和收录的优酷视频地址,我们打开看看。

百度惊险XSS漏洞 Web安全 第4张

发现xss playlod,这个视频还是18年上传的,现在给收录造成XSS Playlod触发,开发小哥哥年终奖没了hh

在这个大佬的个人主页里发现一堆xss攻击代码,tql

其实百度早在18年也出现过类似的问题

百度惊险XSS漏洞 Web安全 第5张

百度惊险XSS漏洞 Web安全 第6张

开发小哥两年的年终奖都扣完了hh


请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By 蚁人博客