歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

組合漏洞 + bypass waf 拿下阿里數個網站

來源:360 作者:y.shahinzadeh 時間:2019-04-16 TAG: 我要投稿
譯文聲明

本文是翻譯文章,文章原作者y.shahinzadeh,文章來源:medium.com 
原文地址:https://medium.com/@y.shahinzadeh/chaining-multiple-vulnerabilities-waf-bypass-to-account-takeover-in-almost-all-alibabas-websites-f8643eaa2855


譯文僅供參考,具體內容表達以及含義原文為準


 
這篇文章將要向大家分享一個案例:利用某些客戶端漏洞獲得數個阿里巴巴網站的用戶帳戶。

阿里巴巴在 http://hackerone.com上有一個很大的公測項目,一般情況下我不太測這個,他們對漏洞修復的態度特別拖拉。
 
開工
文章內容有點長,但還是需要先介紹下一些基礎概念,比如JSONP,以及一些瀏覽器如何處理cookie的等等。
 
攻擊
大多數阿里巴巴的網站都要加載并且執行一個外部的JS對象,通過這個JS代碼可以從cookie中獲取一個uid的值,而這個uid可以被攻擊者替換掉,然后加載惡意的payload導致用戶賬戶被竊取。
 
漏洞發現步驟簡述
發現一個URL返回的JS代碼在很多阿里的網站上都會執行
意識到這個URL在JS代碼里面反射了cookie的值
檢索*.alipay.com網站中具有XSS的來控制cookie
在一個子域名中發現一個存儲型XSS
操縱入口點兩次繞過WAF
用一個不常見的手段重寫cookie
在網站上執行JS代碼,eg,login.alibaba.com
寫個exp來獲得阿里網站上的任意用戶

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视