我是怎么绕过Uber的CSP防护成功XSS的?

访客5年前黑客资讯1004

咱们好!在开端正式的内容之前,请答应我做个简略的毛遂自荐。首要,我要阐明的是我不是什么安全研究人员/安全工程师,切当的来说我是一名安全的爱好者,这始于两年前的Uber。我喜爱触摸新的事物,而且每天都在努力提高自己。我也很愿意与共享我学到的东西(每周都会更新哦),由于我坚信“共享便是关心”。尽管,现在在赏金方案中我已不是新人了,但在安全面前我永远是新手。好了,话不多说让咱们步入正题吧!
布景
这次,我打算在Uber的子域上发掘一些“敞开重定向”缝隙。尽管,我知道Uber并不将“敞开重定向(Open Redirect)”视为缝隙。但我想,假如将它与其它缝隙联系起来,或许能导致帐户接收或其它什么更严峻的安全问题呢?我马上将主意付诸于了举动。当我在partners.uber.com上寻觅端点时,以下URL引起了我的留意:
https://partners.uber.com/carrier-discounts/att/redirect?href=http://www.wireless.att.com/
这个URL是我在一个论坛中看到的,之后我运用Google dorks也找到了一个相似的URL。那么,它是否受敞开重定向缝隙的影响呢?答案是必定的!接下来我要做的便是,在登录部分找到一个缝隙来组合运用它们。但很不幸,我找了很长的一段时间都没有任何的发现。关于敞开重定向的问题Uber方面回应如下:
 “99%的敞开重定向具有低安全性影响, 关于影响较大的稀有状况,例如盗取oauth令牌,咱们仍希望能再见到它们。”
一周后当我再次查看了这个URL时我发现,它已无法正常作业。就像现在相同,不管你输入什么http参数,它都会将你重定向到https://www.wireless.att.com
so,他们修好了吧。是他们自己发现的仍是有人陈述的?我不知道,也不想知道。这让我感到十分的懊丧,但我很快从懊丧傍边走了出来。已然这个点被堵死了,那让咱们来找找XSS。
假如我问你“Uber的哪个URL你最眼熟”,你的答案可能是约请链接。你能够在任何地方看到这些链接,例如论坛帖子,Twitter,Facebook,Instagram等。
以下是一个约请链接:
https://www.uber.com/a/join?exp_hvp=1&invite_code=bq6ew1w9ue
我测验查看了XSS,但并没有成功:(
https://partners.uber.com/p3/referrals/ms?i=bq6ew1w9ue
上面这个链接具有相同的约请码,假如你点击它它将重定向到其他URL,但这儿它为什么不查看其他参数呢?我决议再次运用dorks进行搜索。
site:partners.uber.com
经过dorks搜索我找到了一个数量巨大的约请链接列表。我要做的便是找到另一个参数,很走运我找到了一个!
https://www.hack56.com/images/sn2pmh3sieb” />
注入payload后:
content=”static/images/milestones/anniversary/anniversary_1 “>.png” />
正如你所看到的,咱们的payload并未被过滤,但一起也没有发作XSS弹窗。依据我以往的经历,这种状况是由于启用了内容安全策略(CSP)。什么是CSP? 正如Netsparker博客傍边所描述的那样:
内容安全策略(CSP)规范,是一种有挑选地指定应在Web应用程序中加载哪些内容的办法。这能够经过运用随机数或散列将特定来历列入白名单来完结“。
因而,只需找到处在白名单之中的域,咱们就能够绕过CSP。咱们来查看下Uber的partner.uber.com的CSP标头。这儿的内容有点长,因而我只向咱们展现了“script-src”之后的部分:
script-src ‘self’ ‘unsafe-inline’ ‘nonce-9f4b94bf-a195–4d8c-b474–879ae6d1d471’ ‘self’ ‘unsafe-inline’ https://pullo.uberinternal.com https://apis.google.com https://www.google.com https://d1a3f4spazzrp4.cloudfront.net https://*.uber.com https://rules.quantcount.com https://www.google- *** ytics.com https://ssl.google- *** ytics.com https://d3i4yxtzktqr9n.cloudfront.net https://d1a3f4spazzrp4.cloudfront.net;
首要,我查看了rules.quantcount.com并找到了json端点,但没有太多关于它的信息。但他们将* uber.com的域名均列为了白名单,因而只需咱们能够找到任何带有回调或相似内容的 *** ON端点,那么咱们就能够履行XSS。这儿我引荐咱们一个名为“DOM XSS — auth.uber.com”的博客,咱们有空能够去翻翻他的文章:
http://stamone-bug-bounty.blogspot.com/2019/10/dom-xss-auth14.html
在他的这篇文章中他成功绕过了CSP,而且CSP答应他从* .marketo.com取得一些他想要的东西。

[1] [2]  黑客接单网

相关文章

黑客入侵又出新招!丹麦科学研究精英团队探索与发现:不连接网络

黑客入侵又出新招!丹麦科学研究精英团队探索与发现:不连接网络

针对网络黑客而言,沒有她们没法做到,唯有你意想不到。   就算不连接网络,网络黑客运用散热风扇也可以盗取你的数据信息? 前不久,非洲的一个科学研究精...

在线破解改了当地破译倘若你确实属实填好这种材料并傻乎乎推送回

在线破解更改了当地破译那类处于被动的破译方法,要是是线上的QQ号码都可以破译,应用领域范围广。但是因为它依然选用穷举法专业技能,因此在枚举类型密匙十位数长短及其种类时,校...

色情广告挂马剖析:记一次挂马与挖矿之间的“密切触摸”

1. 布景: 近来,腾讯安全反病毒实验室发现,有一类木马经过网页广告挂马的方法大规划传达。广告内容为色情链接,诱导用户点击。链接中嵌入了一段触发IE缝隙的JS脚本,假如用户电脑的IE浏览器没有及时打好...

一个MongoDB注入进犯事例剖析

在开端咱们的MongoDB“注入之旅”之前,咱们需求先知道和其他数据库比较,为什么咱们更乐意选MongoDB——由于MongoDB并不是SQL作为查询句子,所以人们可能会认为这样的数据库难以进行注入进...

HTTPie:WEB开发调试东西

还在用wget和curl?试试HTTPie吧  :) HTTPie (读作aych-tee-tee-pie)是指令行方法的HTTP客户端。可经过简略的http指令,可合作语法发送恣意HTTP恳求数据,...

Web前端安全探秘:技能理论与实际使用

Web前端安满是个新概念,能够理解为它是Web安全防护范畴的一部分。 早些时候,曾被狭义的以为前端安全即JS安全。却是没有错,但不全面。现在来看,应该说:前端代码安全(JS代码安全)+ 前端进犯侵略防...