阿里巴巴是http://hackerone.com上的一个公共项目,范围很广。我应该补充一下,这个项目由于响应延迟,分类,修复等的原因不值得花时间。
我将介绍一些额外的内容,例如JSONP,一些浏览器处理cookie的行为等等。
我很抱歉,由于某些原因,我现在还不能确定,我不得不暂时删除报告内容。我会尽快将帖子更新到原帖,包括所有细节。
在实现JSONP时,需要进行更多的安全性修订。通常,从范围外的站点加载外部JavaScript对象会影响范围内的站点,就像在此报告中发生的那样。
JSONP请求/响应的示例
根据RFC6265,a.b.com
可以设置具有域属性的cookie,.b.com
和a.b.com
浏览器会自动将具有.b.com
属性的cookie
发送到b.com
子域。
如果jQuery从表单中获取HTML编码值 .val()
,则返回相应的HTML解码值。
<input id="input" value="&"" />
jQuery的:
$('#input').val() // return &"
在bug赏金程序中发现了很好的攻击向量绕过了WAF保护的两个请求。
测试表明,浏览器可以为每个域保存有限数量的cookie。例如,谷歌浏览器为一个域保存了不到150个cookie,而Firefox保存了大约200个。更多细节:
http://browsercookielimits.squawky.net/
因此,payload很简单:
for(var i=0;i<1000;i++){ document.cookie=i+'=1;domain=.alipay.com' } document.cookie='uid=foo;domain=.alipay.com;path=/'
因此,攻击向量通过添加许多垃圾cookie来消除旧的uid cookie,添加恶意payload填充的新uid cookie。
本文转载自白帽汇整理
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.