阿里巴巴被发现了一个可以绕过waf的漏洞

阿里巴巴是http://hackerone.com上的一个公共项目，范围很广。我应该补充一下，这个项目由于响应延迟，分类，修复等的原因不值得花时间。

让我们开始

我将介绍一些额外的内容，例如JSONP，一些浏览器处理cookie的行为等等。

哎呀，细节在哪里？

我很抱歉，由于某些原因，我现在还不能确定，我不得不暂时删除报告内容。我会尽快将帖子更新到原帖，包括所有细节。

经验1——JSONP是危险的

在实现JSONP时，需要进行更多的安全性修订。通常，从范围外的站点加载外部JavaScript对象会影响范围内的站点，就像在此报告中发生的那样。

JSONP请求/响应的示例

经验2——Cookie中的重要说明

根据RFC6265，a.b.com可以设置具有域属性的cookie，.b.com和a.b.com浏览器会自动将具有.b.com属性的cookie发送到b.com子域。

经验3——jQuery中的棘手点

如果jQuery从表单中获取HTML编码值 .val()，则返回相应的HTML解码值。

<input id="input" value="&amp;&quot;" />

jQuery的：

$('#input').val() // return &"

经验4——有趣的XSS Payload

在bug赏金程序中发现了很好的攻击向量绕过了WAF保护的两个请求。

经验5——覆盖Cookie

测试表明，浏览器可以为每个域保存有限数量的cookie。例如，谷歌浏览器为一个域保存了不到150个cookie，而Firefox保存了大约200个。更多细节：

http://browsercookielimits.squawky.net/

因此，payload很简单：

for(var i=0;i<1000;i++){
    document.cookie=i+'=1;domain=.alipay.com'
}
document.cookie='uid=foo;domain=.alipay.com;path=/'

因此，攻击向量通过添加许多垃圾cookie来消除旧的uid cookie，添加恶意payload填充的新uid cookie。

最后

请接受我的理由，并继续关注这份报告的更新，我会在我的Twitter中发布。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场 来源：https://medium.com/@y.shahinzadeh/chaining-multiple-vulnerabilities-waf-bypass-to-account-takeover-in-almost-all-alibabas-websites-f8643eaa2855