阿里巴巴被发现了一个可以绕过waf的漏洞

少年阿基米德  98天前

1.png

阿里巴巴是http://hackerone.com上的一个公共项目,范围很广。我应该补充一下,这个项目由于响应延迟,分类,修复等的原因不值得花时间。

让我们开始

我将介绍一些额外的内容,例如JSONP,一些浏览器处理cookie的行为等等。

哎呀,细节在哪里?

我很抱歉,由于某些原因,我现在还不能确定,我不得不暂时删除报告内容。我会尽快将帖子更新到原帖,包括所有细节。


经验1——JSONP是危险的

在实现JSONP时,需要进行更多的安全性修订。通常,从范围外的站点加载外部JavaScript对象会影响范围内的站点,就像在此报告中发生的那样。

2.png

JSONP请求/响应的示例

经验2——Cookie中的重要说明

根据RFC6265a.b.com可以设置具有域属性的cookie,.b.coma.b.com浏览器会自动将具有.b.com属性的cookie发送到b.com子域。

5.png

经验3——jQuery中的棘手点

如果jQuery从表单中获取HTML编码值 .val(),则返回相应的HTML解码值。

<input id="input" value="&amp;&quot;" />

jQuery的:

$('#input').val() // return &"

经验4——有趣的XSS Payload

在bug赏金程序中发现了很好的攻击向量绕过了WAF保护的两个请求。

12.png

经验5——覆盖Cookie

测试表明,浏览器可以为每个域保存有限数量的cookie。例如,谷歌浏览器为一个域保存了不到150个cookie,而Firefox保存了大约200个。更多细节:

http://browsercookielimits.squawky.net/

因此,payload很简单:

for(var i=0;i<1000;i++){
    document.cookie=i+'=1;domain=.alipay.com'
}
document.cookie='uid=foo;domain=.alipay.com;path=/'

因此,攻击向量通过添加许多垃圾cookie来消除旧的uid cookie,添加恶意payload填充的新uid cookie。

最后

请接受我的理由,并继续关注这份报告的更新,我会在我的Twitter中发布。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场 来源:https://medium.com/@y.shahinzadeh/chaining-multiple-vulnerabilities-waf-bypass-to-account-takeover-in-almost-all-alibabas-websites-f8643eaa2855

最新评论

qqq  :  高端标题党
97天前 回复
bin  :  我也是討厭
97天前 回复
BaCde  :  原来是有详情的内容的,但是由于原文作者也提到,目前有些不方便公开,对原文的内容进行了**减。我们这边翻译的也做了**减。想看具体,可看后面开放的内容。
96天前 回复
BaCde  :  回复 @ bin &nbsp;:&nbsp; &nbsp;原来是有详情的内容的,但是由于原文作者也提到,目前有些不方便公开,对原文的内容进行了**减。我们这边翻译的也做了**减。想看具体,可看后面开放的内容。
96天前 回复
昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号