前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >BUG赏金 | 将开放重定向与反射型XSS串联

BUG赏金 | 将开放重定向与反射型XSS串联

作者头像
Timeline Sec
发布2019-12-23 11:23:47
7650
发布2019-12-23 11:23:47
举报
文章被收录于专栏:Timeline Sec
图片来源于网络

在一个星期日的早晨,醒来后我像往常一样拿起手机并登录我的Facebook帐户,在滚动新闻提要时,我遇到了这个 showmax 的 facebook广告 (showmax 是一个在线电影网站,就像 NetFlix 一样)。

然后我点击广告并访问该网站。根据我的原则,每当我访问新网站时,我要做的第一件事就是通过搜索 " hackerone <site name>" 或 "<this site name> bug bounty" 等关键字来检查该网站是否正在运营 Bug Bounty 项目。我在这里使用了相同的方法,发现 showmax 正在 hackerone 上运营 Bug Bounty 项目。

最有趣的部分是,该项目(showmax)约有6个月没有解决任何报告,这是发现一些 bug 的好机会。

我启动了 Burp Suite 并再次访问该站点,然后浏览该站点,打开出现在屏幕上的任何链接。

单击"试用 14 天"后,将我带到注册页面,然后将我重定向到付款页面。坦率地说,我没有万事达卡或 Visa 卡(我曾用姐姐的朋友的:P),但是这次他们不在那儿,没有给卡。

然后,我在 Burp Suite 中单击以检查 Burp 的 “历史记录”,滚动后,我从 " secure.showmax.com" 中看到了 Burp History 之一的请求正文中的内容,如下所示:

代码语言:javascript
复制
代码语言:javascript
复制
{payment_url:"https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://payu.co.za......."}

"这是开放重定向!",然后我尝试修改重定向的 URL 修改为 google.com,这也生效了。那么该是时候了为他们写一个简单的报告给 hackerone 处理了。

几小时后他们就确认了。

接下来我想尝试更深入一些,检查我是否能将开放重定向串联上反射型 XSS。Rodolfo Assis 的这篇博客(XSS limited input formats)给了我很大帮助。

之后便是将 URL 从

代码语言:javascript
复制
代码语言:javascript
复制
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://google.com

修改为如下形式

代码语言:javascript
复制
代码语言:javascript
复制
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=javascript:%250Aalert(1)

弹窗在浏览器直接触发了!

然后,我将其报告给 hackerone (与我之前开启的报告相同)。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-12-18,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Timeline Sec 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档