怎么綜合利用Self-XSS和OAuth錯(cuò)誤配置實(shí)現(xiàn)Stored-XSS，相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法，通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

創(chuàng)新互聯(lián)科技有限公司專(zhuān)業(yè)互聯(lián)網(wǎng)基礎(chǔ)服務(wù)商，為您提供四川雅安電信機(jī)房，高防主機(jī)，成都IDC機(jī)房托管，成都主機(jī)托管等互聯(lián)網(wǎng)服務(wù)。

下面是對(duì)Self-XSS和OAuth錯(cuò)誤配置兩個(gè)低危漏洞的組合利用，形成Stored XSS的一個(gè)梳理過(guò)程，僅當(dāng)思路拓展。由于測(cè)試保密原因，目標(biāo)測(cè)試網(wǎng)站用redacted.com來(lái)代替描述。

漏洞發(fā)現(xiàn)

在HackerOne平臺(tái)參與的一個(gè)邀請(qǐng)測(cè)試項(xiàng)目中，我發(fā)現(xiàn)了一個(gè)AngularJS 客戶(hù)端模板的Self XSS漏洞和一個(gè)OAuth實(shí)現(xiàn)的錯(cuò)誤配置漏洞，單獨(dú)來(lái)看，這兩個(gè)漏洞都屬于低風(fēng)險(xiǎn)漏洞，形成不了嚴(yán)重的隱患影響。但經(jīng)過(guò)我對(duì)它們的組合利用，就可以形成一個(gè)完美的Stored XSS ！

目標(biāo)測(cè)試網(wǎng)站redacted.com，它主要提供文件存儲(chǔ)服務(wù)，有點(diǎn)像Google Drive 和 DropBox的樣子，用戶(hù)通過(guò)注冊(cè)使用這個(gè)平臺(tái)，可以實(shí)現(xiàn)文件的上傳、下載和分享。

存在XSS的地方位于待上傳文件的文件名處，如果把待上傳文件的文件名改為{{constructor.constructor(‘a(chǎn)lert(1)’)()}}.jpg這種樣式，就會(huì)在上傳文件管理面板中導(dǎo)致XSS，啊，可它卻是一個(gè)Self XSS。

后經(jīng)測(cè)試，有一種簡(jiǎn)單的方法可以讓這個(gè)Self XSS轉(zhuǎn)變?yōu)镾tored XSS，那就是向其它用戶(hù)共享文件的上傳鏈接，當(dāng)文件被以相同的文件名從上傳面板中導(dǎo)入時(shí)，就會(huì)導(dǎo)致Stored XSS。但在這里，我還要展示另外一種轉(zhuǎn)變?yōu)镾tored XSS的有趣方式。

OAuth錯(cuò)誤配置

在設(shè)置菜單中，我發(fā)現(xiàn)了一個(gè)可以從DropBox導(dǎo)入文件的功能，使用這個(gè)功能，用戶(hù)需要在OAuth機(jī)制下，把redacted.com的應(yīng)用和Dropbox賬戶(hù)相關(guān)聯(lián)。這里，來(lái)簡(jiǎn)單地介紹一下redacted.com應(yīng)用的大致OAuth機(jī)制：

1、首先，用戶(hù)點(diǎn)擊Dropbox關(guān)聯(lián)按鈕，然后會(huì)產(chǎn)生一個(gè)GET發(fā)起請(qǐng)求：

https://dropbox.com/oauth3/authorize?client_id=***********&response_type=code&state=****************&redirect_uri=https%3A%2F%2Fwww.redacted.com%2Faccount%2Fsettings%2Fdropbox-callback

2、接下來(lái)，當(dāng)前redacted.com應(yīng)用的用戶(hù)會(huì)跳轉(zhuǎn)到Dropbox，進(jìn)行一個(gè)相應(yīng)的Dropbox登錄和允許按鈕點(diǎn)擊：

3、點(diǎn)擊允許Allow后，會(huì)產(chǎn)生一個(gè)發(fā)往redacted.com且包含 state 參數(shù)和驗(yàn)證碼auth_code的GET請(qǐng)求，如下紅框所示：

4、redacted.com后端接收并處理這個(gè)GET請(qǐng)求后，用戶(hù)的Dropbox賬戶(hù)就能與當(dāng)前redacted.com應(yīng)用同步了，所有Dropbox相關(guān)的文檔都可導(dǎo)入到redacted.com應(yīng)用中來(lái)；

我在測(cè)試這個(gè)OAuth機(jī)制的過(guò)程中，目的在于發(fā)現(xiàn)能否把我的Dropbox賬戶(hù)關(guān)聯(lián)到其它redacted.com應(yīng)用上，但卻沒(méi)什么發(fā)現(xiàn)。

其中涉及的redirect_uri是白名單化的，state參數(shù)方式也都合理，auth_code不能兩次復(fù)用，等等，而且我還測(cè)試了state參數(shù)，也即redacted.com應(yīng)用是否用當(dāng)前用戶(hù)會(huì)話對(duì)其進(jìn)行驗(yàn)證，結(jié)果都沒(méi)什么問(wèn)題。

所以，基于以上這些測(cè)試來(lái)看，我肯定不能用來(lái)自Dropbox的鏈接 https://www.redacted.com/account/settings/dropbox-callback?state=********code=**********，去關(guān)聯(lián)其他的redacted.com用戶(hù)賬戶(hù)。

出于好奇，我刪除了https://www.redacted.com/account/settings/dropbox-callback?state=********code=**********鏈接中的state參數(shù)，變成了https://www.redacted.com/account/settings/dropbox-callback?code=**********，并把它放到了redacted.com的其他用戶(hù)賬戶(hù)中，驚喜的是，之后我的Dropbox賬戶(hù)就和其他用戶(hù)賬戶(hù)關(guān)聯(lián)起來(lái)了。

也就是說(shuō)，只需要用一個(gè)GET請(qǐng)求，我就可以把我的Dropbox賬戶(hù)和其他任何人的redacted.com賬戶(hù)相關(guān)聯(lián)。在這里，你可能會(huì)有疑問(wèn)，我不用Dropbox賬戶(hù)來(lái)登錄redacted.com應(yīng)用，這就不能發(fā)生賬號(hào)劫持了。但如前所述，在待上傳文件的文件名處存在XSS，那么我們就可以考慮來(lái)充分利用利用它。

漏洞利用場(chǎng)景

1、在Dropbox中，上傳一個(gè)名為{{constructor.constructor(‘a(chǎn)lert(1)’)()}}.jpg的惡意文件，這是Dropbox允許的；

2、把Dropbox驗(yàn)證redacted.com應(yīng)用且不包含state參數(shù)的最終OAuth鏈接https://www.redacted.com/account/settings/dropbox-callback?code=**********，發(fā)送給目標(biāo)受害者；

3、當(dāng)受害者的redacted.com應(yīng)用和我們的Dropbox賬戶(hù)關(guān)聯(lián)后，一旦他向redacted.com應(yīng)用中導(dǎo)入那個(gè)惡意文件時(shí)，我們文件名方式的XSS payload就會(huì)執(zhí)行。

這里的問(wèn)題在于，盡管redacted.com后端用當(dāng)前的session會(huì)話對(duì)用戶(hù)的state參數(shù)進(jìn)行了驗(yàn)證，但卻沒(méi)驗(yàn)證它的存在性。redacted.com后端的驗(yàn)證邏輯大概是這樣的：

if(isset($_GET['state'])){
    if($_GET['state'] != current_user_state)
        ACCESS DENIED
        exit()
}
ACCESS GRANTED

所以，利用低危的OAuth錯(cuò)誤配置和Self XSS，最終實(shí)現(xiàn)了具有危害性的Stored XSS。

看完上述內(nèi)容，你們掌握怎么綜合利用Self-XSS和OAuth錯(cuò)誤配置實(shí)現(xiàn)Stored-XSS的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

網(wǎng)頁(yè)題目：怎么綜合利用Self-XSS和OAuth錯(cuò)誤配置實(shí)現(xiàn)Stored-XSS
當(dāng)前路徑：http://chinadenli.net/article8/jiojop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站制作、搜索引擎優(yōu)化、品牌網(wǎng)站建設(shè)、網(wǎng)站制作、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)