大家好,我是程序员霸哥。
XSS漏洞有时会被忽视,尤其是当域超出范围时。然而,当这种漏洞与跨域资源共享(CORS)配置不当相结合时,它们可能会成为安全项目范围内的有效漏洞,从而有资格获得奖励。
为了更好地解释这一点,我将举一个真实的例子,该例子来自我在HackerOne平台上遇到的某个项目。我们称之为“redacted.com”,它有一个不在范围的子域“community.redacted.com”。
一天,我在浏览自动化流程结果时,发现“community.redacted.com”域中存在一个XSS漏洞。
在查看HackerOne项目说明时,我了解到虽然*.redacted.com域在奖励范围内,但community.redacted.com并不包括在内。起初我感到有些失望,因为我低估了这个漏洞的潜在严重性。
但是,如果这个漏洞被忽视,我也就不会写这篇文章了,对吧?
经过几天的思考,我意识到自己遗漏了一些东西。某些广泛范围的应用程序需要利用跨域资源共享(CORS)来实现同一范围内应用程序的整合。
CORS是一项由浏览器实现的安全功能,用于控制不同来源的资源访问权限。它允许服务器指定哪些来源可以访问它们的资源。当应用程序将Access-Control-Allow-Origin标头设置为*.redacted.com时,它基本上允许在“redacted.com”子域上的任何网页访问其资源。
同时,当Access-Control-Allow-Credentials标头被设置为true时,该标头表示请求可以包含凭证(如cookie、授权头或TLS客户端证书)。
在这种情况下,我就可以利用不在范围的域(如“community.redacted.com”)中的XSS漏洞,窃取用户敏感数据或在范围域(“redacted.com”)内代表用户执行未经授权的操作。
接下来,我开始寻找允许被*.redacted.com访问资源的域,并且确保其Access-Control-Allow-Credentials为true。
还需要注意的是,CORS配置错误的域必须有访问敏感信息的cookie。
为了自动化这一过程,我们可以使用一个经过修改的Nuclei模板,该模板可避免不必要的请求,模板内容如下:
id: cors-misconfig
info:
name: CORS Misconfiguration
author: c4rrilat0r
severity: info
tags: cors,generic,misconfig
http:
- raw:
- |
GET HTTP/1.1
Host: {{Hostname}}
Origin: {{cors_origin}}
payloads:
cors_origin:
- "https://{{tolower(rand_base(5))}}.{{RDN}}" # Find domain in RDN with Misconfiguration
stop-at-first-match: true
matchers:
- type: dsl
name: arbitrary-origin
dsl:
- "contains(tolower(header), 'access-control-allow-origin: {{cors_origin}}')"
- "contains(tolower(header), 'access-control-allow-credentials: true')"
condition: and
经过一些手动测试,我在www.redacted.com的主页上发现了严重的配置错误:
如上图:
1、通过cookie访问敏感信息;
2、Access-Control-Allow-Origin标头允许为community.redacted.com;
3、Access-Control-Allow-Credentials被设置为true。
接着,我在community.redacted.com上设计了一个XSS payload,以从www.redacted.com获取敏感数据。
url = 'https://www.redacted.com/profile';
fetch(url, { credentials: 'include' })//包含Cookie凭证请求主域的/profile端点
.then(response => response.text())
.then(data => alert(JSON.stringify(JSON.parse(data).user)));
果然,通过巧妙地将XSS与CORS配置相结合,我成功地从不同的来源中窃取了敏感信息。
报告在一天内得到了确认,我获得了904美元的奖励。
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
