ソース:
脆弱性:SSRF
訳:
プライベートのバグ報奨金プログラムで見つけた問題を共有したいと思い。
PDF ジェネレーターには SSRF 脆弱性がありますが、Web アプリの問題は特殊文字を挿入できないことで。
しかし、モバイルアプリがあり、そこにペイロードを挿入できることに気づき。
「PDF として保存」機能は Web アプリでのみ使用できるため、モバイル アプリ経由でペイロードを挿入し、Web アプリにログインして「PDF として保存」機能を使用する必要があり。
幸いなことに、スペースにスラッシュ (/) を使用しているペイロードはフィルタリングされないため、スペースとしてスラッシュを含む iframe タグ ペイロードを使用でき。
これは私が使用したペイロードです: <iframe/src=””>
<iframe/src=” http://localhost/ ”> と <iframe/src=”http://127.0.0.1 ”>を挿入しようとしましたが、PDF は空白になり。
次に行ったステップは、サブドメインを作成し、DNS を 127.0.0.1 に変更することで。
したがって、ペイロードは次のようになり <iframe/src=” http://sub-domain.mydomain.com ”>。
モバイルアプリ経由でペイロードを挿入し、Webアプリの「PDFとして保存」機能を使用しました。 ペイロードは機能しましたが、PDF に表示されているのはアプリのログインフォームです。
しかし、私には考えが。
内部でのみ利用可能なファイルにアクセスできる場合はどうなるでしょう。
そこで私が次にしたのは、dirsearch を使用してディレクトリを総当たり攻撃すること。
結果を確認すると、dirsearch でステータス コード 403 を持つ「elmah.axd」が見つかり、ファイルへのアクセスが禁止されていることを意味し。
ペイロードに「elmah.axd」を追加すると、次のようになり。
ペイロード: <iframe/src=”http://sub-domain.mydomain.com/elmah.axd ”>
そこで、モバイルアプリ経由でペイロードを再度挿入し、Webアプリで「PDFとして保存」機能を使用したところ、ペイロードは機能して。
PDF で見たのはエラー ログです。 この問題を会社に報告したところ、報奨金が支払われ。
問題の解決にはわずか 1 時間、報奨金の送付には 1 日かかりました。
ほなほな。
