手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

组合漏洞 + bypass waf 拿下阿里数个网站

来源£º360 作者£ºy.shahinzadeh 时间£º2019-04-16 TAG£º 我要投稿
译文声明

本文是翻译文章£¬文章原作者y.shahinzadeh£¬文章来源£ºmedium.com 
原文地址£ºhttps://medium.com/@y.shahinzadeh/chaining-multiple-vulnerabilities-waf-bypass-to-account-takeover-in-almost-all-alibabas-websites-f8643eaa2855


译文仅供参考£¬具体内容表达以及含义原文为准


 
这篇文章将要向大家分享一个案例£º利用某些客户端漏洞获得数个阿里巴巴网站的用户帐户¡£

阿里巴巴在 http://hackerone.com上有一个很大的公测项目£¬一般情况下我不太测这个£¬他们对漏洞修复的态度特别拖拉¡£
 
开工
文章内容有点长£¬但还是需要先介绍下一些基础概念£¬比如JSONP£¬以及一些浏览器如何处理cookie的等等¡£
 
攻击
大多数阿里巴巴的网站都要加载并且执行一个外部的JS对象£¬通过这个JS代码可?#28304;Ócookie中获取一个uid的值£¬而这个uid可以?#36824;?#20987;者替换掉£¬然后加载恶意的payload导致用户账户被窃取¡£
 
漏洞发现步骤简述
发现一个URL返回的JS代码在很多阿里的网站上都会执行
意识到这个URL在JS代码里面反射了cookie的值
检索*.alipay.com网站中具有XSS的来控制cookie
在一个子域名中发现一个存储型XSS
操纵入口点两次绕过WAF
用一个不常见的手段重写cookie
在网站上执行JS代码£¬eg£¬login.alibaba.com
写个exp来获得阿里网站?#31995;ÄÈ我?#29992;户

[1] [2] [3] [4]  下一页

¡¾声明¡¿:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目?#27169;?#24182;不代表本站赞同其观点?#25237;?#20854;真实性负责£¬仅适于网络安全技术爱好者学习研究使用£¬学习中请遵循国家相关法律法规¡£如有问题请联系我们£¬联系邮箱[email protected]£¬我们会在最短的时间内进行处理¡£
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        ¹ºÂò²ÊƱȨÍþÍøÖ·
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中