admin/wxvl
1
0
Fork 0
mirror of https://github.com/gelusus/wxvl.git synced 2025-07-30 14:35:03 +00:00
Code Issues Packages Projects Releases Wiki Activity
wxvl/doc/2024-10/漏洞案例:提升Self-XSS危害.md

5.9 KiB
Raw Permalink Blame History

漏洞案例提升Self-XSS危害

原创 玲珑安全 芳华绝代安全团队 2024-10-11 22:47

Self-XSS利用1

目标应用程序为某在线商店在其注册页面的First Name字段中注入XSS Payload

注册成功但当我尝试登录我的帐户时界面显示403 Forbidden即无法登录我的帐户。

我很好奇为什么我无法登录我的帐户,所以我打开了 Burp 并拦截了登录请求以查看为什么会收到403 Forbidden。我发现客户端向服务器发送了两个请求。

第一个请求中包含我的用户名和密码:

POST /login HTTP/2Hostwww.example.com

loginID=attacker@gmail.com&password=xxx

其返回包为200 OK返回体中包含我的个人信息如FirstName、lastName、UID等等。

第二个请求中包含我的个人信息:

POST /login HTTP/2
Host: www.example.com

Data={"eventName":"login","remember":false,"UID":"9046b58424b84429ab2d5b811baer3xc","eventName":"login","remember":false,"UID":"9046b58424b84429ab2d5b811baer3xc","profile":{"firstName":"<svg+Only=1+onload=alert(1)>","lastName":"sssss","email":"attacker@gmail.com","zip":"55551"},"data":{"phoneNumber":"2111443343","smsOptin":false,"dateOfBirth":"11/11/1999","emailOptin":true}}

也许服务器在针对第二个请求的处理上存在WAF所以firstName可能是问题所在。

因此我删除了firstName字段不出所料我成功登录了我的账户并实现了Self-XSS

我尝试通过缓存中毒或缓存欺骗来实现真实的XSS危害但无功而返。

接着我进入账户设置将我的电子邮箱改为xx@gmail.com

更改后,我收到了一份邮件,通知我的个人信息已更改:

点击View web version
触发XSS Payload。

Self-XSS利用2

接下来是另一个Self-XSS的利用过程。

来到目标应用程序的支持中心:
https://example.com/contact?submitted=false

我在每个字段中都注入XSS Payload接着提交表单。接着我被重定向至感谢页面
https://example.com/contact?submitted=true

这里并没有预期的结果发生,但引起我注意的是参数?submitted=在提交表单之前它的值是false而在提交表单之后它的值变成了true。

所以我决定重新访问https://example.com/contact?submitted=false如图成功实现Self-XSS

这个Self-XSS 需要太多步骤才能复现,要实现步骤的简化,我们就需要找到一种方法,避免提交后被重定向。

一段时间后我发现在任何字段中输入任何错误的内容例如在Phone Number字段中输入 LingLongSec 然后提交表单便可直接实现Self-XSS而不发生重定向。

那么如何实现真实的危害呢在提交表单时我拦截了请求再将该POST请求修改为GET请求我发现服务器能够正确解析该请求现在只需将一些参数置空即可

https://example.com/contact?projectTypes=Other&projectTypes=e"><img+src=x+onerror=alert(1)>&default-method=contactMe&FirstName=&LastName=&Email=&PhoneNumber=&CallTime=

原文出处:https://medium.com/@7odamoo/how-could-self-xss-end-with-b8342555cf3e

培训咨询v

bc52013 或  linglongsec****

SRC漏洞挖掘培训

玲珑安全第一期SRC漏洞挖掘培训

玲珑安全第二期SRC漏洞挖掘培训

玲珑安全第三期SRC漏洞挖掘培训

玲珑安全第四期SRC漏洞挖掘培训

往期漏洞分享

账户安全随笔

利用XSS、OAuth配置错误实现token窃取及账户接管

更改参数实现试用计划延长

2300$分享4个高危业务逻辑漏洞

CR/LF注入+Race Condition绕过MFA

‍图片元数据不适当处理+大小写绕过速率限制‍

破解邀请码实现未授权访问和账户接管

子域名模糊测试实现RCE

通过导入功能将权限提升至管理员

玲珑安全B站公开课

https://space.bilibili.com/602205041

玲珑安全QQ群

191400300

玲珑安全交流群