<small id='2gAYSuFi'></small> <noframes id='Notw61syZg'>

  • <tfoot id='wB6d'></tfoot>

      <legend id='nThZ2YMNQx'><style id='lKqzQtvUT'><dir id='XkopLQms'><q id='Urkf1o'></q></dir></style></legend>
      <i id='Abnz8iQ4q'><tr id='mzU4u'><dt id='Vg7IqjdHK'><q id='6FalAgZCxp'><span id='4ead1MokpO'><b id='OIyrCLK5U1'><form id='oulp13d'><ins id='FfQds'></ins><ul id='gCuR2GcO'></ul><sub id='ZtCBwd'></sub></form><legend id='aQvox'></legend><bdo id='wSaZk'><pre id='ayvxLD7e'><center id='zNmkReH'></center></pre></bdo></b><th id='eEST'></th></span></q></dt></tr></i><div id='AOGkdgbBlv'><tfoot id='41ix'></tfoot><dl id='Fg4W'><fieldset id='N1YBMvH'></fieldset></dl></div>

          <bdo id='rYLWzsJ'></bdo><ul id='1Mg90YWkU'></ul>

          1. <li id='dVQZgx'></li>
            登陆

            下载章鱼app-挖洞经历 | 从XSS缝隙到四步CSRF使用完成账户绑架

            admin 2019-05-31 218人围观 ,发现0个评论

            作者前不久在HackerOne上参加了一个缝隙众测约请项目,方针测验运用(体系)的功用是为一些企业保管相关服务,普通用户能够经过该体系进行注册,然后运用这些服务。所以,该运用中会触及到许多用户的灵敏信息处理操作。后来,作者由一个XSS缝隙下手,发现了上传功用中存在的四步CSRF老人性缝隙危险,终究经过结构完结了方针运用的管理员账户绑架。

            在上传文件名处发现XSS缝隙

            项目开端前两天,我就发现了几个中危缝隙,并对它们做了一些剖析符号,经深化研究之后,我意识到只需运用一个XSS缝隙,就能十分容易地完结提权。别的,由于更改用户注册邮箱时,方针运用没有比方向邮箱发更改链接或输入当时暗码的验证手法,所以归纳缝隙运用,可构成账户绑架。为此,我花了许多时刻去挖XSS缝隙。

            但难处在于,由于方针运用对用户输入做了特别字符过滤处理,所以形似很难发现XSS缝隙。之后某天晚上,在持续测验进程中,我注意到,方针运用能够上传CSV文件来导入用户信息,这个功用估量值得深挖。所以,我在上传CSV文件中结构了一些特别字符,但仍是被过滤掉了。接着,我又从CSV文件名下手,在其间结构了XSS 句子:

            下载章鱼app-挖洞经历 | 从XSS缝隙到四步CSRF使用完成账户绑架

            .csv

            总算完结了alert的窗口弹出!好了,功德圆满。

            XSS归纳CSRF的测验

            但在后续剖析中,我意识到即便结构的文件名XSS是耐久型的,这个XSS缝隙现在只能在CSV文件上传时完结触发。也就是说,在CSV文件上传时,运用未做相关编码过滤处理,但文件上传到体系服务端后是受编码过滤的。因而来看,这个XSS缝隙现在也仅仅仅一个Self-XSS,是不在缝隙认可范围内的。虽然我试了许多XSS Payload,但仍是不能绕过上传后的服务端过滤机制,无法改变这种Self-XSS。

            此刻,我只要把它暂时放一放,期望在后续测验中能发现绕过办法或其它运用办法。接下来,在持续测验后,我发现方针运用居然没有CSRF防护机制,所以,我就想到,能不能用CSRF恳求来触发这个Self-XSS呢?所以,我就立马着手编写了一个CSRF恳求脚本,如下:

            这个CSRF脚本内容是上传CSV文件的POST恳求,好了,CSRF脚本有了,那么就需求在方针运用中找到一个途径或端点(endpoint),结构恳求,发送给受害者用户,以此完结XSS缝隙触发了。可是,一经测验,又发现方针运用中简直一切途径或端点(endpoint)都有下载章鱼app-挖洞经历 | 从XSS缝隙到四步CSRF使用完成账户绑架过滤防护办法,所以我在脚本中结构的文件名XSS Payload – filename=\”.csv\” 也就无法被解析触发了。即便我测验了许多重定向跳转和其它技巧,但仍然未找到可行办法。没有思绪,我决议暂时先放一放。

            突发创意-扔掉XSS用CSRF完结管理员账户绑架

            两天往后的某晚,在和媳妇看电视的时分,我突发创意:XSS的完结运用现在或许是一叶障目,为什么不先把那个Self-XSS放一边,直接去运用CSRF呢?因而,我需求再深化了解CSV文件的上传进程,完好的CSV上传进程首要包括以下四个进程,这几个进程中都会触及一些用户信息的修正增加解析:

            1、建议POST恳求履行上传动作(POST – 1)

            2、修正上传进程的过错(GET-1)

            3、解析上传文件中的相关修正之处,以便进行后续的预览和验证(GET – 2)

            4、解析并完结预览,终究提交上传

            经剖析测验,第1步的POST恳求中存在CSRF缝隙或许,之后的三步GET恳求也都存在CSRF缝隙危险。但全体运用或许有点费事,由于不确定这些过程怎么履行,并且后来我才发现其间还遗漏了一步。其次,方针运用需求在上传过错修正之前完结一次查看查看,所以,还需求在以上第1和第2步之间再刺进一个查看过程。别的,方针运用的CORS装备也比较合理,当调用各种端点途径(Endpoint)时,无法取得任何呼应数据。由于这种呼应数据对了解以上每个过程的当时状况十分有用,就比方能够经过呼应回来时刻揣度上传数据的巨细、网速、服务器负载等状况。

            我决议对每个恳求处理完结的均匀时刻做一些测验,然后运用Java中的setTimeout办法来对4个恳求完结交织履行,以保证我能够一次把这4步中的CSRF缝隙进行串联整合。所以,终究缝隙运用PoC代码如下:

            以上PoC履行的功用是:下载章鱼app-挖洞经历 | 从XSS缝隙到四步CSRF使用完成账户绑架一开端发送POST恳求,然后以2秒距离履行完好CSV文件上传进程中的4个恳求,这对单个用户的上传行为来说十分好操控和判别。攻击者经过网站操控布置以上这个PoC页面,如果把方针运用的管理员(Admin)当成受害者,把这个PoC对应URL链接发送给管理员,当他点击加载后,运用CSV文件上传进程中存在的4个CSRF缝隙处,结合上传CSV文件中的用户信息修正,能够完结攻击者管理员身份的增加,以此直接完结对本来管理员身份的绑架。完结机制是:攻击者供给在上传CSV文件中的邮箱会收到一封管理员身份的用户名暗码链接,用该凭证登录方针运用,能够删去其它管理员账户,彻底完结对管理员账户的绑架,获取对方针运用的彻底管理权限。汗……。

            缝隙上报进程

            第一天 缝隙初报

            第二天 缝隙定级分类(高危)

            第三天 取得$3,000奖赏

            第七天 缝隙修正

            *参阅来历:medium,clouds编译,转载请注明来自FreeBuf.COM

            声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。
          2.   “在iPhone里发作的,就只会留在iPhone上。”(What happens on your iPhone stays on your iPhone。)本年在拉斯维加斯举办的国际消费类电子产品博览会(Consumer Electronics Show,CES)上,这条信息以简略的黑底白字印刷在大楼的一侧,有14层楼高。这个宣言深得苹果公司精华:一个斗胆的局面,一个机遇正好的言语游戏,以及对谷歌、

          3. 苹果提出的隐私问题 只能苹果自己来处理

            2019-06-25
          4. 下载章鱼app-【小南话科普】这是黑洞相片?不!这是心肌灌注显像图
          5. 67岁洪金宝坐轮椅现身,54岁港姐妻子关心照料,混血容貌一点点不老
          6. 请关注微信公众号
            微信二维码
            不容错过
            Powered By Z-BlogPHP