7500美元的存储型XSS漏洞（steam客户端）

近期，Hackerone网站披露了一个基于Steam聊天客户端的存储型XSS漏洞，得到了官方7500美元的奖励，而漏洞发现者还表示这个漏洞还可能在未来造成远程命令执行等问题。

Steam的聊天客户端可以发送和接收BBcode格式的聊天消息。而且这些信息会映射到相应的HTML元素，特别是对任意URL都可使用[url]的BBcode标签。虽然React具有强大的XSS防御措施，但并不能阻止形态为的XSS。

利用视频的链接如下：

利用视频

漏洞发现者还认为可以利用这个漏洞中的原理在Steam客户端中远程执行代码。同时需要注意，Steam 聊天的客户端和Steam聊天的网页端使用相同的代码库，并且漏洞发现者认为使用Electron或其他WebView系统也存在这种命令执行漏洞。其根本原因在于这些系统都允许调用任意系统函数。

而在这个漏洞提交的几天后，漏洞发现者指出，可以在Steam的聊天客户端中，利用steam://openexternalforpid/10400/file:///C:/Windows/cmd.exe这种形式来远程执行命令，你只需要发送一个[url=steam://openexternalforpid/10400/file:///C:/Windows/cmd.exe]click me[/url]给其他人，受害者只要一点，就可成功发动攻击。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://hackerone.com/reports/409850