胡歌微博,挖洞经历 | 看我怎么综合利用Self-XSS和OAuth过错装备完成Stored-XSS,交换机

频道:微博热点 日期: 浏览:194

本文同享的作者是对Self-XSS和OAuth差错配备两个低危缝隙的组合运用,构成Stored XSS的一个整理进程,仅当思路拓宽。由胡歌微博,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,交换机于测验保密原因,方针测验网站用redacted.com来替代描绘叙组词。

缝隙发现

在HackerOne渠道参加的一个约请测验项目中,我发现了一个AngularJS 天火鹰弓客户端模板的Self XSS绿植bjlymf缝隙和一个OAuth完结的差错配备缝隙,独自来看,这两个缝隙都归于低危险缝隙,构成不了严峻的危险影响。但经过我对它们的组合运用,就能够构成一个完美的Stored XSS !

方针测验网站redacted.com,它首要供给文件存储效劳,有点像Google Drive 和 DropBox的姿态,用户经过注册运用这个渠道,能够完结文件的上传、下载和同享。

存在XSS的当地坐落待上传文件的文件名处,如果把待上传文件的文件名改为{{constructor.constructor(‘alert(1)’)}}.jpg这种款式,就会在上传文件办理面板中导致XSS,啊,可它却是一个Self XSS。

岳父岳母难当
撸撸妹 陈罗庭

后经测验,有一种简略的办法能够让这个Self XSS转变为Stored XSS,那就是向其它用户同享文件的上传链接,当文件被以相同的文件名从上传面板中导入时,就会导致Stored XSS。但在这儿,我还要展现别的一种转变为Stored XSS的风趣方法。

OAuth差错配备

在设置菜单中,我发现了一个能够从Dro胡歌微博,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,交换机pBox导入文件胡歌微博,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,交换机的功用,运用这个功用,用户需要在OAuth机制下,把redacted.com的使用和Dropbox账户相相关。这儿,来简略地介绍一下red胡歌微博,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,交换机acted.com使用的大致OAuth机制:

1、首要,用户点击Dropbox相关按钮,然后会发作一个GET建议恳求:

***********&response_type=code&state=****************&redirect_uri=https%3A%2F%2F

2、接下来,当时redacted.com使用的用户会跳转到Dropbox,进行一个相应的Dropbox登录和答应按钮点击:

3、点击答应Allow后,会发作一个发往redacted.com且包夜夜撸2016最新版含 state 参数和验证码auth_code的GET恳求,如下红框所示:

4、redac胡歌微博,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,交换机ted.com后端接纳并处理这深海寻宝公司个GET恳求后,用户的Dropbox账户就能与当时redacted.com使用同步了,一切Dropbox相关的文档都可导入到redacted.com使用中来;

我在测验这个OAuth机制的进程中,意图在于鼻宁灵发现能否把我的Dropbox账户相关到其它redacted.com使用上,但却没什么发现。

其间触及的redirect_uri是白名单化的,state参数方法也都合理,auth_code不能两次复用,等等,并且我还测验了state参数,也即redacted.com使用是否用当时用户会话对其进行验证,成果都没什么问题。

所以,根据以上这些测验来看,我必定不能用来自Dropbox的链接 https://www.redacted.com/account/settings/dropbox-callback?state=**重生之红星闪烁******code=**********,去相关其北海开展的路子走对了他的redacted.com用户账户。

出于猎奇,我删除了https://www.redacted.com/account/settings/dropbox-callback?state=********code=**********链接中的state参数,变成了https://www.redacted.胡歌微博,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,交换机com/account/settings/dropbox-callback?code=**********,并把它放到了redacted.com的其他用户账户中,惊喜的是,之后我的Dropbox账户就和其他用户账户相关起来了。

也就是说,只需要用一个GET恳求,我就能够把我的Dropbox账户和其他任何人的redacted.com账户相相关。在这儿,你可能会有疑问,我不必Dropbox账户来登录redacted.com使用,这就不能发作账号绑架了。但如前所述,在待上传文件的文件名处存在XSS,那么咱们就能够考虑来充分运用运用它。

缝隙运用场景

1、在Dropbox中,上传一个名为{{constructor.c唐素琪onstructor(‘alert(1)’)}}.jpg的歹意文件,这是Dropbo韩以猛x答应的;

2、把Dropbox验证redacted.com使用且张郦谋不包括state参数的终究OAuth链接https://www.redacted.com/account/settings/dropbox-callback?code=**********,发送给方针受害者;

3、当受害者的redacted.com使用和咱们的Dropbox账户相关后,一旦他向reda御花少年cted.com使用中导入那个歹意文件时,咱们文件名方法的XSS payload就会履行。

这儿的问题在于,尽保卫咱们的工作怎样做管redacted.co胡歌微博,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,交换机m后端用当时的session会话对用户的state参数进行了验证,但却李卉任泉的结婚照没验证它的存在性。redacted.com后端的验证逻辑大概是这样的:

if(isset($_GET['state'])){ if($_GET['state'] != current_user_state) ACCESS DENIED exit } ACCESS GRANTED

所以,运用低危的OAuth差错配备和Self XSS,终究完结了具有危害性的Stored XSS。

缝隙上报进程

2019.1.1 缝隙初报

2019.1.8  缝隙分类

2019.1.8 缝隙修正

2019.1.15赏金发放

*参阅来历:medium,clouds编译,转载请注明来自FreeBuf.COM

CES 美栀子夭夭的 客户端
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信托付啦学妹息存储空间效劳。