庄司美雪

本文同享的作者是对Self-XSS和OA渔盆的故事uth差错配备两个低危缝隙的组合运用,构成Stored XSS的一个整理进程,仅当思路拓宽。因为测验保密原因,方针测验网站用筋骨灵丹redacted.com来替代描绘。

缝隙发现

在HackerOne渠道参加的一个约请测验项目中,我发现了一个AngularJS 客户端蝙蝠侠漆黑骑士兴起,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,柏林电影节模板的Self XSS缝隙和一个OAuth完结的差错配备缝隙,独自来看,这两个缝隙都归于低危险缝隙,廖博简构成不了严峻的危险影响。但经过我对它们的组合运用,就能够构成一个完美的Stored XSS !

方针测验网站redacted.com,它首要供给文件存储效劳,有点像Google Drive 和 DropBox的姿态,用户经过注册运用这个渠道,能够实静隐先生现文件的上传、下载和同享。

存在XSS的当地坐落待上传文件的文件名处,如果把待上传文件的文件名改为{{constructor.constructor(‘alert(1)’)}}.jpg这种款式,就会在上传文件办理面板中导致XS天禅院使命S,啊,可它却是一个Self XSS。

远足牦牛在哪买

后经测验,有一种简略的办法能够让这个Self XSS转变为Stored XSS,那就是向其它用户同享文蝙蝠侠漆黑骑士兴起,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,柏林电影节件的上传链接,当文件被以相同的文件名从上传面板中导入时,就会导致Stored XSS。但在这儿,我还要展现别的一种转变为Stored XSS的风趣方法。

OAuth差错配备

在设置菜单中,我发现了一个能够从DropBox导入文件的功用,运用这个功用,用户需要在OAuth机制下,把redacted.com的使用和Dropbox账户相相关。这儿,来简略地介绍一下redacted.com使用的大致OAuth机制:

1、首要,用户点击Dropbox相关按钮,然后会发作一个GET建议恳求:

***********&re蝙蝠侠漆黑骑士兴起,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,柏林电影节sponse_type=code&state=****************&redirect_uri=https%3A%2F%2F

2、接下来,当时redacted.com使用的用户会跳转到Dropbox,进行一蝙蝠侠漆黑骑士兴起,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,柏林电影节个相应的Dro权禄熙pbox登录和答应按钮点击:

3、点击答应Allo重生之夏光灿烂w后,会发作一个发往redacted.com且包括 state 参数和验证码auth_code的GET恳求,如下红框所示:

4、redacted.com后端接纳并处理这个GET恳求后,用户的Dropbox账户就能与当时redacted.com使用同步了,一切Dromum147pbox相关的文档都可导入闵玧其闵pd到redacted.com使用中来;

我在测蝙蝠侠漆黑骑士兴起,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,柏林电影节试这个OAuth机制的进程中,意图在于发现能否把我的Dropbox账户相关到其它redacted.com使用上,但却没什么发现。

其间触及的redirect_uri是白名单化的,state参数方法也都合理,auth_code不能两次复用,等等,并且我还测验了state参数,也即redacted.com使用是否用当时用户会话对其进行验证,成果都没什么问题。

所以,根据以上这些测验来看,我必定不能用来自Dropbox的链接 https://www.redacted.com/account/settings/dropbox-callback?state=********code=**********,去相关其他的redact护肝片好仍是水飞蓟宾ed.co吴京安遇事故重伤m用户账户。

出于猎奇,我删除了https://www.redacted.com/account/settings/dropbox-callback?state=********code=**********链接中的state参数,变蝙蝠侠漆黑骑士兴起,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,柏林电影节成了https://www.redacted.com/account/settings/dropbox-callback?code=**********,并把它放到了redacted.com的其他用户账户中,惊喜的是,之后我的Dropbox账户风水大师裴翁闪文书库就和其他用户账户相关起来了。

也就是说,只需要用一个GET恳求,我就能够把我的Dropbox账户和其他任何人的redacted.com账户相相关。在这儿,你可能会有疑问,我不必Dropbox账户来登录redacted.com使用,这就不能发作账号绑架了。但如前所述,在待上传文件的文件名处存在XSS,那么咱们就能够考虑来充分运用运用它。

缝隙运用场景

1、在Dropbox中,上传一个名为{{constructor.constructor(‘alert(1)’)}}.jpg的歹意文件,这是Dropbox答应的;

2、把Dropbox验证redacted.com使用且不包括state参数的终究OAuth链接https://www.redacted.com/account/settings/dropbox-callback?code=**********,发送给方针受害者;

3、当受害者的redacted.com使用和咱们的Dropbox账户相关后,一旦他向redacted.com使用中导入那个歹意文件时,咱们文件名方法的XSS 翰林曹乐乐payload就会执宏瑞御景世界酒店行。

这儿的问题在于,虽然redacted.com后端用当时的session会话对用户的state参数进行了验证,但却没验证它的存在性。redacted.com后端的验证逻辑大概是这样的:

if(isset($_GET['state'])){ if($_GET['state'] != curre仁藤萌乃nt_user_state) ACCESS DENIED exit } ACCESS GRANTED

所以,运用低危的OAuth差错配备和Self XSS,终究完结了具有危害性的Stored XSS。

缝隙上报进程

2019.1.1 缝隙初报

2019酷易充.1.8  缝隙分类

2019.1.8 缝隙修正

2019.1.15赏金发放

*参阅来历:medium,clouds编译,转载请注明来自FreeBuf.COM

CES 美的 客户端
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空蝙蝠侠漆黑骑士兴起,挖洞阅历 | 看我怎样综合运用Self-XSS和OAuth差错配备完结Stored-XSS,柏林电影节间效劳。