实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘

admin 2022年7月24日09:22:12评论38 views字数 1083阅读3分36秒阅读模式

大家好,在本文中,我将分享我在2个TikTok资产发现的XSS漏洞

实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘

当我决定在TikTok 程序中寻找漏洞 时,我花了1个月的时间寻找这个XSS。

当我在TikTok 卖家账户( https://seller-id.tiktok.com/ )上创建产品时,这个 XSS 发现开始了

我在卖家账户的产品名称中插入了 XSS payload。

实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘

结果是我得到的https://seller-id.tiktok.com/上没有 XSS 。我决定不再在那里寻找 XSS。

第二天,当我继续测试TikTok Android Apps 资产时,我发现了我的产品的功能。

实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘

我试图从上面的Share功能中查看产品 URL 位置。

我得到一个表单的 URL:

https://oec-api.tiktokv.com/view/product/1231414124124124

实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘

结果是一样的,这里没有XSS 实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘

我沉默了片刻,试图查看页面的视图源。

显然我在那里发现了一个易受攻击的 XSS片段,其形式如下:

<meta name='keywords' content='[ "><img src=x onerror=alert()>] , TikTok, TokTok Shop' />

这就是让我放弃的原因,但在我知道回复的片段后,我试图从TikTok 卖家账户(https://seller-id.tiktok.com/)中更改我的产品名称。

现在我使用带有单引号 ( ' )前缀的 XSS payload:

'><img src=x onerror=alert()>

最后出现一个弹出窗口:)

实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘

让我们看看来自视图源的响应:

<meta name='keywords' content='[ '><img src=x onerror=alert()>] , TikTok, TokTok Shop' />

是的,'>前缀用于关闭META TAG中的输入值。我在这里存储了 XSS Blind。

我喜出望外,立即向TikTok团队汇报。

实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘

报告完问题后,我继续测试,结果发现在我最初的发现中发现了受 XSS 影响的其他TikTok资产的 URL。

受影响的资产是https://shop.tiktok.com/

实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘

我还向TikTok团队报告了这一发现,最后获得了1000美金的赏金。

报告详情

https://hackerone.com/reports/1554048

受影响的资产:

https://oec-api.tiktokv.com/

https://shop.tiktok.com/

时间线 

报告:4月29日

修复和解决:5 月 13 日

赏金:1000 美元

原文始发于微信公众号(迪哥讲事):实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月24日09:22:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘http://cn-sec.com/archives/1195924.html

发表评论

匿名网友 填写信息