在一个星期日的早晨,醒来后我像往常一样拿起手机并登录我的Facebook帐户,在滚动新闻提要时,我遇到了这个 showmax 的 facebook广告 (showmax 是一个在线电影网站,就像 NetFlix 一样)。
然后我点击广告并访问该网站。根据我的原则,每当我访问新网站时,我要做的第一件事就是通过搜索 " hackerone <site name>" 或 "<this site name> bug bounty" 等关键字来检查该网站是否正在运营 Bug Bounty 项目。我在这里使用了相同的方法,发现 showmax 正在 hackerone 上运营 Bug Bounty 项目。
最有趣的部分是,该项目(showmax)约有6个月没有解决任何报告,这是发现一些 bug 的好机会。
我启动了 Burp Suite 并再次访问该站点,然后浏览该站点,打开出现在屏幕上的任何链接。
单击"试用 14 天"后,将我带到注册页面,然后将我重定向到付款页面。坦率地说,我没有万事达卡或 Visa 卡(我曾用姐姐的朋友的:P),但是这次他们不在那儿,没有给卡。
然后,我在 Burp Suite 中单击以检查 Burp 的 “历史记录”,滚动后,我从 " secure.showmax.com" 中看到了 Burp History 之一的请求正文中的内容,如下所示:
{payment_url:"https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://payu.co.za......."}
"这是开放重定向!",然后我尝试修改重定向的 URL 修改为 google.com,这也生效了。那么该是时候了为他们写一个简单的报告给 hackerone 处理了。
几小时后他们就确认了。
接下来我想尝试更深入一些,检查我是否能将开放重定向串联上反射型 XSS。Rodolfo Assis 的这篇博客(XSS limited input formats)给了我很大帮助。
之后便是将 URL 从
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://google.com
修改为如下形式
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=javascript:%250Aalert(1)
弹窗在浏览器直接触发了!
然后,我将其报告给 hackerone (与我之前开启的报告相同)。
本文分享自 Timeline Sec 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!