重定向与反射型XSS串联

在一个星期日的早晨,醒来后我像往常一样拿起手机并登录我的Facebook帐户,在滚动新闻提要时,我遇到了这个 showmax 的 facebook广告 (showmax 是一个在线电影网站,就像 NetFlix 一样)。
然后我点击广告并访问该网站。根据我的原则,每当我访问新网站时,我要做的第一件事就是通过搜索 " hackerone " 或 " bug bounty" 等关键字来检查该网站是否正在运营 Bug Bounty 项目。我在这里使用了相同的方法,发现 showmax 正在 hackerone 上运营 Bug Bounty 项目。
重定向与反射型XSS串联_第1张图片
最有趣的部分是,showmax约有6个月没有任何漏洞报告,这是发现 bug 的好机会。
我启动了 BurpSuite 并再次访问该站点,然后浏览该站点,打开出现在屏幕上的任何链接。
单击"试用 14 天"后,将我带到注册页面,然后将我重定向到付款页面。坦率地说,我没有万事达卡或 Visa 卡(我曾用姐姐的朋友的),但是这次他们不在那儿,没有给卡。
然后,我在 BurpSuite 中单击以检查 Burp 的 “历史记录”,滚动后,我从 " secure.showmax.com" 中看到了 Burp History 之一的请求正文中的内容,如下所示:
{payment_url:“https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://payu.co.za…”}
“这是开放重定向!”,然后我尝试修改重定向的 URL 修改为 google.com,这也生效了。那么该是时候了为他们写一个简单的报告给 hackerone 处理了。
重定向与反射型XSS串联_第2张图片
几小时后他们就确认了。
重定向与反射型XSS串联_第3张图片
接下来我想尝试更深入一些,检查我是否能将开放重定向串联上反射型 XSS。Rodolfo Assis 的这篇博客(XSS limited input formats)给了我很大帮助。
重定向与反射型XSS串联_第4张图片
之后便是将 URL
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://google.com
修改为
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=javascript:%250Aalert(1)
浏览器直接触发弹窗
重定向与反射型XSS串联_第5张图片
然后,我将其报告给 hackerone (与我之前开启的报告相同)。

翻译自medium.com

免责申明:本文由互联网整理翻译而来,仅供个人学习参考,如有侵权,请联系我们,告知删除。

你可能感兴趣的:(国外翻译,安全)