阿里巴巴被发现了一个可以绕过waf的漏洞

Track-SSG   ·   发表于 2019-04-16 11:00:27   ·   漏洞文章


阿里巴巴是http://hackerone.com上的一个公共项目,范围很广。我应该补充一下,这个项目由于响应延迟,分类,修复等的原因不值得花时间。

让我们开始

我将介绍一些额外的内容,例如JSONP,一些浏览器处理cookie的行为等等。

哎呀,细节在哪里?

我很抱歉,由于某些原因,我现在还不能确定,我不得不暂时删除报告内容。我会尽快将帖子更新到原帖,包括所有细节。


经验1——JSONP是危险的

在实现JSONP时,需要进行更多的安全性修订。通常,从范围外的站点加载外部JavaScript对象会影响范围内的站点,就像在此报告中发生的那样。

2.png

JSONP请求/响应的示例

经验2——Cookie中的重要说明

根据RFC6265,a.b.com可以设置具有域属性的cookie,.b.coma.b.com浏览器会自动将具有.b.com属性的cookie发送到b.com子域。

5.png

经验3——jQuery中的棘手点

如果jQuery从表单中获取HTML编码值 .val(),则返回相应的HTML解码值。

<input id="input" value="&amp;&quot;" />

jQuery的:

$('#input').val() // return &"

经验4——有趣的XSS Payload

在bug赏金程序中发现了很好的攻击向量绕过了WAF保护的两个请求。

12.png

经验5——覆盖Cookie

测试表明,浏览器可以为每个域保存有限数量的cookie。例如,谷歌浏览器为一个域保存了不到150个cookie,而Firefox保存了大约200个。更多细节:

http://browsercookielimits.squawky.net/

因此,payload很简单:

for(var i=0;i<1000;i++){
    document.cookie=i+'=1;domain=.alipay.com'
}
document.cookie='uid=foo;domain=.alipay.com;path=/'

因此,攻击向量通过添加许多垃圾cookie来消除旧的uid cookie,添加恶意payload填充的新uid cookie。


本文转载自白帽汇整理


打赏我,让我更有动力~

0 条回复   |  直到 2019-4-16 | 1400 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.