著名IT技术网站Stack Overflow和亚马逊网站反射型XSS

推特用户@newp_th(http://twitter.com/newp_th)于2018年分别公开了Stack Overflow网站和亚马逊网站的XSS漏洞，其漏洞利用过程都很相似，详细情况如下。

XSS on Stack Overflow

该XSS为反射型XSS。当时我正利用在Burpsuite爬取和测试其他公司的域名，并检查问题选项卡是否有曝出漏洞。突然，我感觉到Stack Overflow也许易受到XSS攻击的困扰（因为我正使用了反射型XSS检测插件https://github.com/elkokc/reflector）。所以我决定测试下Stack Overflow的域名。

反射型XSS检测插件：该Burp Suite插件能够在你浏览网站时，实时在页面上测试反射型XSS，它包括以下一些功能：

在响应选项卡中高亮显示反射内容。

测试此反射点允许使用哪些符号。

分析反射内容的上下文。

Conten-Type白名单。

当我测试Stack Overflow旗下域名时，我注意到cookie中有一个存在漏洞的参数prov！！，当我把payload输入到参数prov并按下回车时

我的IE浏览器收到了响应，弹出了XSS！！！！！

上报漏洞后我也收到了Stack Overflow的回复。

时间线

2018-2-14: 漏洞报告

2018-2-19: 正验证

2018-4-3: 已修复

XSS on Amazon

亚马逊网站的这个XSS漏洞和上个Stack Overflow网站的XSS漏洞的发现过程很相似。而且利用起来更加容易。

Payload：

具体链接：

https://ws-na.amazon-adsystem.com/widgets/q?ServiceVersion=20070822&OneJS=1&Operation=GetAdHtml&MarketPlace=US&source=ss&ref=as_ss_li_til&ad_type=product_link&tracking_id=jgsbookselection%22%3E%3Csc ript/k/%3Ealert(113)%3C/sc ript/k/%3E&marketplace=amazon&region=US&placement=1449319432&asins=1449319432&linkId=cc38d5883c3f92bbeb69b93a6810322a&show_border=true&link_opens_in_new_window=true

在初次向亚马逊安全团队报告这个问题几个星期之后，我收到回复，表示这个漏洞已被解决，于是我便再次验证。而在进一步的测试中，我还是可以很容易触发XSS，只不过这次使用的payload为-confirm(1)-。

完整链接：

https://ws-na.amazon-adsystem.com/widgets/q?ServiceVersion=20070822&OneJS=1&Operation=GetAdHtml&MarketPlace=US&source=ss&ref=as_ss_li_til&ad_type=product_link&tracking_id=1%22-confirm(1)-%22&marketplace=amazon&region=US&placement=1449319432&asins=1449319432&linkId=cc38d5883c3f92bbeb69b93a6810322a&show_border=true&link_opens_in_new_window=true#

时间线

2018-5-29: 漏洞上报

2018-5-29: 漏洞被确认

2018-6-25: 漏洞修复

2018-6-27: 修复被绕过

2018-12-12: 漏洞解决

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://medium.com/@newp_th/reflected-xss-on-stack-overflow-b8366a855472
https://medium.com/@newp_th/reflected-xss-on-ws-na-amazon-adsystem-com-amazon-f1e55f1d24cf