重定向与反射型XSS串联

一笑奈何 提交于 2020-08-09 04:15:46

在一个星期日的早晨,醒来后我像往常一样拿起手机并登录我的Facebook帐户,在滚动新闻提要时,我遇到了这个 showmax 的 facebook广告 (showmax 是一个在线电影网站,就像 NetFlix 一样)。

然后我点击广告并访问该网站。根据我的原则,每当我访问新网站时,我要做的第一件事就是通过搜索 " hackerone <site name>" 或 "<this site name> bug bounty" 等关键字来检查该网站是否正在运营 Bug Bounty 项目。我在这里使用了相同的方法,发现 showmax 正在 hackerone 上运营 Bug Bounty 项目。

重定向与反射型XSS串联

最有趣的部分是,showmax约有6个月没有任何漏洞报告,这是发现 bug 的好机会。
我启动了 BurpSuite 并再次访问该站点,然后浏览该站点,打开出现在屏幕上的任何链接。

单击"试用 14 天"后,将我带到注册页面,然后将我重定向到付款页面。坦率地说,我没有万事达卡或 Visa 卡(我曾用姐姐的朋友的),但是这次他们不在那儿,没有给卡。

然后,我在 BurpSuite 中单击以检查 Burp 的 “历史记录”,滚动后,我从 " secure.showmax.com" 中看到了 Burp History 之一的请求正文中的内容,如下所示:
{payment_url:"https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://payu.co.za......."}

"这是开放重定向!",然后我尝试修改重定向的 URL 修改为 google.com,这也生效了。那么该是时候了为他们写一个简单的报告给 hackerone 处理了。

重定向与反射型XSS串联
几小时后他们就确认了。

重定向与反射型XSS串联
接下来我想尝试更深入一些,检查我是否能将开放重定向串联上反射型 XSS。Rodolfo Assis 的这篇博客(XSS limited input formats)给了我很大帮助。

重定向与反射型XSS串联
之后便是将 URL
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://google.com
修改为
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=javascript:%250Aalert(1)
浏览器直接触发弹窗
重定向与反射型XSS串联
然后,我将其报告给 hackerone (与我之前开启的报告相同)。






翻译自medium.com

免责申明:本文由互联网整理翻译而来,仅供个人学习参考,如有侵权,请联系我们,告知删除。

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!