在Bugcrowd公共项目中发现的一键账户接管漏洞
بِسْمِ اللهِ الرَّحْمنِ الرَّحِيمِ
前言
在本文中,我将解释在Bugcrowd的公共VDP项目中发现的一个一键账户接管漏洞,该漏洞通过链式利用XSS和CSRF实现。
信息收集
我们的目标是一个购物子域名,暂且称之为"store.target.com"。
用户通过会话Cookie进行身份验证,这些Cookie具有以下属性:
- HTTPOnly = True => JavaScript无法访问Cookie
- SameSite = 未设置 => 对Firefox用户存在潜在的CSRF风险(Chrome默认SameSite = Lax)
更改邮件功能如下所示:
POST /clientlogin.asp HTTP/2
Host: store.target.com
Cookie: <SessionCookies>
action=doeditaccount&emhash=d7f0ca99f423099433a528269116b87e73b624ec9d2656531e32e9556d79c1bd&name=tester&allowemail=ON&email=test@bugcrowd.com&oldpw=&newpw=&newpw2=
然而,由于存在不可预测的参数"emhash",我们无法执行CSRF攻击[我无法弄清楚它是如何生成的,也无法绕过它]。
模糊测试
模糊测试发现了一个新的端点"/admin/default.asp"。
当输入错误的凭据时,我们得到以下响应:
观察发现查询参数m在响应中被alert弹出。
在m参数中插入一些特殊字符:
GET /admin/default.asp?m=”>'
响应未经编码直接反射 => XSS指标。
好消息是我们有反射型XSS,坏消息是我们无法访问会话Cookie。
组合利用
为了实现账户接管:
- 发送请求获取CSRF令牌(由于XSS现在我们可以同源访问)
- 然后发送请求更改受害者的邮箱!
感谢阅读。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
 - Invinc)
快速排序(递归))
冒泡排序)
堆排序)
基数排序)
希尔排序)
)
