某奇艺利用文件上传配合 Flash跨域获取用户敏感信息-2019-8-15-已修复

目前已漏洞已修复，该打码的我也打码了，公开应该没事吧，不要找我。

0x01 flash跨域策略文件配置不当

主站的crossdomain.xml配置不当，允许了所有域*。攻击者可以发送请求，读取服务器返回的信息。这意味着攻击者可以获得已登录用户可以访问的任意信息，甚至获得anti-csrf token。

其他子域名

image.png

0x02文件上传没有对内容进行效检

尝试上传一段包含恶意代码的图片到服务端，上传到，后台并没有对上传的图片内容进行有效过滤。导致上传后的图片仍然还存在恶意代码，后续可以配合flash进行利用攻击。

image.png

0x03攻击条件

比如：A 是 Hack，A发送一个链接给 B 用户， B 用户一旦点击，就会泄露,B 用户的身份信息，
手机号，地址，登录 IP，甚至能获取用户 Cookle 等等隐私信息，恶意的flash会把获取到的数据，利用的crossdomain.xml配置不当造成的同源策略自动回传 A Hack，A 就得到了B用户的数据。

image.png

0x04漏洞危害

利用此漏洞可获取某奇艺用户的 “， 某奇艺账号订单、商城订单号， 收货手机号，收货地址，甚至能获取用户 Cookle 信息”，等等隐私信息。

0x05漏洞利用过程

1、在 https://open.*.com/developer/register/info/view 上传一个恶意 Flash 文件，后缀修改成
jpg 的格式。可以正常上传。顺便找到上传后的文件返回地址，因为待会要用到这个文件。

image.png

上传 jpg 到网站后的访问地址为

http://pan.*.com//external//7EZhb5Kp1DiHzO5Y9uXTFReky4WYE--0dgXLKV1LLtMbfGrpOWIN
CWRKrokfacw9c94__GRm3Gs03nwbShqD6B4kriwriFtb51H9_nBA5ayLwepjK11zj_ON2p1xYZBN-4
dRZxgPasBEjneyU3_ovK-AgpGD_T0uED5r_i0YsnaZWIUSduUvhFwF24iZQRwce7zWbZcFyhEImv3O
BH1ywrP8mN9c112xhdjaLFJwZzg.jpg

可以看到文件是上传到 pan.*.com 这个域名下的，根据主站设置的同源策略， 这里存在跨域问题并可以利用。

2、下面开始构造攻击链接，比如这次我构造获取某奇艺商城用户的 购物车情况：
已知： 正常已登录某奇艺的用户直接访问：https://mall.*.com/shoppingcart.html 就可以
看到自己账号的添加过的购物车商品信息，数量，与金额等。
构造如下一个 html 文件，发送给用户，或者上传到自己的 VPS 云上，以链接形式发送给用
户。诱导用户点击。其中相关参数与说明。

image.png

已登录某奇艺的用户，只要点击 ”链接/html” 文件后，就会成功的把用户的购物车状况信
息发送了黑客。
调试模式可以发现。当用户点开的链接时，可以看到浏览器自动请求了某奇艺购物车页面。

image.png

然后恶意flash文件又对请求到响应数据进行 Base64 加密，自动回传了到另一台不知明的服务器。其实就
是把用户的响应页面偷偷的传给了黑客。

image.png

把拿到的回传数据进行 Base64 解密成 Html。

image.png

解密后，覆盖到浏览中，即可看到用户的购买车页面。

image.png

0x06修复建议

• 对上传的文件进行内容检测，大小限制。
• allow-access-from 标签的 domain 属性检测：domain 属性应根据最小化原则按需设置，仅允许可信任的来源跨域请求本域内容。禁止将该属性值设置为“*”。
• allow-http-request-headers-from 标签的 domain 属性检测：domain 属性应根据最小化原则按需设置，仅允许可信任的来源向本域跨域发送内容。禁止将该属性值设置为“*”。

• site-control 标签的 permitted-cross-domain-policies 属性检测：根据业务的实际需求及可行性，对该属性做相应设置。禁止将该属性值设置为“all”。

  
  
  image.png