著名IT技术网站Stack Overflow和亚马逊网站反射型XSS

iso60001  2178天前

22.png

推特用户@newp_th(http://twitter.com/newp_th)于2018年分别公开了Stack Overflow网站和亚马逊网站的XSS漏洞,其漏洞利用过程都很相似,详细情况如下。

XSS on Stack Overflow

该XSS为反射型XSS。当时我正利用在Burpsuite爬取和测试其他公司的域名,并检查问题选项卡是否有曝出漏洞。突然,我感觉到Stack Overflow也许易受到XSS攻击的困扰(因为我正使用了反射型XSS检测插件https://github.com/elkokc/reflector)。所以我决定测试下Stack Overflow的域名。

反射型XSS检测插件:该Burp Suite插件能够在你浏览网站时,实时在页面上测试反射型XSS,它包括以下一些功能:

在响应选项卡中高亮显示反射内容。

测试此反射点允许使用哪些符号。

分析反射内容的上下文。

Conten-Type白名单。

当我测试Stack Overflow旗下域名时,我注意到cookie中有一个存在漏洞的参数prov!!,当我把payload4.png输入到参数prov并按下回车时

33.png

我的IE浏览器收到了响应,弹出了XSS!!!!!

44.png

上报漏洞后我也收到了Stack Overflow的回复。

444.png

时间线

2018-2-14: 漏洞报告

2018-2-19: 正验证

2018-4-3: 已修复

XSS on Amazon

亚马逊网站的这个XSS漏洞和上个Stack Overflow网站的XSS漏洞的发现过程很相似。而且利用起来更加容易。

Payload:2.jpg

具体链接:

https://ws-na.amazon-adsystem.com/widgets/q?ServiceVersion=20070822&OneJS=1&Operation=GetAdHtml&MarketPlace=US&source=ss&ref=as_ss_li_til&ad_type=product_link&tracking_id=jgsbookselection%22%3E%3Csc ript/k/%3Ealert(113)%3C/sc ript/k/%3E&marketplace=amazon&region=US&placement=1449319432&asins=1449319432&linkId=cc38d5883c3f92bbeb69b93a6810322a&show_border=true&link_opens_in_new_window=true

55.png

在初次向亚马逊安全团队报告这个问题几个星期之后,我收到回复,表示这个漏洞已被解决,于是我便再次验证。而在进一步的测试中,我还是可以很容易触发XSS,只不过这次使用的payload为-confirm(1)-

完整链接:

https://ws-na.amazon-adsystem.com/widgets/q?ServiceVersion=20070822&OneJS=1&Operation=GetAdHtml&MarketPlace=US&source=ss&ref=as_ss_li_til&ad_type=product_link&tracking_id=1%22-confirm(1)-%22&marketplace=amazon&region=US&placement=1449319432&asins=1449319432&linkId=cc38d5883c3f92bbeb69b93a6810322a&show_border=true&link_opens_in_new_window=true#

66.png

时间线

2018-5-29: 漏洞上报

2018-5-29: 漏洞被确认

2018-6-25: 漏洞修复

2018-6-27: 修复被绕过

2018-12-12: 漏洞解决

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@newp_th/reflected-xss-on-stack-overflow-b8366a855472
https://medium.com/@newp_th/reflected-xss-on-ws-na-amazon-adsystem-com-amazon-f1e55f1d24cf

最新评论

昵称
邮箱
提交评论