这次src案例,涉及到的是jsonp xss,而jsonp技术,在企业src中非常常见,因此很容易存在漏洞。
对于什么是jsonp呢,我这里就不做解释了,可以看下面这篇文章。
https://www.runoob.com/json/json-jsonp.html
简述如下:
如客户想访问 : https://www.runoob.com/try/ajax/jsonp.php?jsoncallback=callbackFunction。
假设客户期望返回数据:["customername1","customername2"]。
真正返回到客户端的数据显示为: callbackFunction(["customername1","customername2"])。
看到我上面加红的部分没有,这个地方的回调函数名称是我们可控的,可以使用下面的网站进行测试:
https://www.runoob.com/try/ajax/jsonp.php?jsoncallback=callbackFunction
他会根据你输入回调函数名称,然后在开头再返回回来。
可以看到,url上面输入的是“callbackFunction”,返回来的开头也是这个“callbackFunction”。
对名称进行稍加改变,可以看到,他会根据我们输入的回调函数名称进行改变,并且打印在页面上。
那么,情况就来了,如果我把这个回调函数名称改成xss-payload呢?
没错!如果对方后端没有进行过滤的话,这里是可以直接打xss的!并且企业src中存在很多!!我也挖到了两个src的门户网站的xss(已经提交到src中),靠的就是这个jsonp xss。
可以看到,这个是在callback后面添加xss payload,这个callback算是jsonp的一个标志。
点击左边那个下表小按钮直接弹框xss,并且是某家企业src的门户网站,先找jsonp标志,再进行waf绕过,成功打出xss。
也能直接打cookie!
原文始发于微信公众号(猎洞时刻):企业src门户站点?看我如何直接打出cookie!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论