漏洞?忽略!忽略!忽略!

admin 2024年9月17日16:39:13评论17 views字数 1358阅读4分31秒阅读模式

现在只对常读和星标的公众号才展示大图推送,建议大家能把威零安全实验室设为星标”,否则可能就看不到了啦

漏洞?忽略!忽略!忽略!

免责声明

本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。

由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。威零安全实验室公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

前言

看到某SRC举办了中秋活动,于是打算挖个垃圾洞蹭一下中秋礼包。想来想去什么洞最好挖呢?当然是XSS了!!

大家应该非常熟悉某个互联网厂商,它大多数业务的文件上传都是将文件上传到存储桶中,只是按照业务区域创建了不同地区的存储桶。

这个做法不言而喻,是为了防止更多的漏洞,比如文件上传 文件覆盖 XSS漏洞等,是一种非常好的安全实践。

漏洞?忽略!忽略!忽略!

漏洞详情

1、某开发者平台的上传功能测试路径:

在这个功能的文件上传的功能实现中,以图片类型文件的后缀作为白名单,符合后缀的文件会被上传到存储桶。

上传后的文件需要调用/i*/*Pic/get*Pic?picUrl=打开。

漏洞?忽略!忽略!忽略!

在进一步测试中,我发现另一个平台的上传路径与上述路径类似,还包含了文件扩展名。

这意味着这些接口使用的是相同的存储桶位置。但是在实际上传文件中,程序通过JavaScript生成serviceToken用于类似HMAC的消息认证码,这增加了攻击的难度。

如果GetPic没有固定Content-Type为image的情况下,我们总能在某个接口找到一个上传可执行脚本文件的扩展名。

漏洞?忽略!忽略!忽略!

除此之外还发现该接口的./profile似乎有Self-XSS...想考虑通过配合CSRF来进行攻击,但无法利用。

2、某支付业务的上传功能测试路径:

发现该功能点是通过黑名单来判断文件是否合规的逻辑。

漏洞?忽略!忽略!忽略!

经过多次测试发现,在文件后缀加一个=,就会绕过上传html文件。然而并不解析。

后来发现,是通过Content-Type: text/html来设置文件的格式。所以成功XSS了。

漏洞?忽略!忽略!忽略!

后续

在2024-09-03 17:36 提交给某SRC后,某SRC认为并不是上传点对于文件格式的上传限制存在缺陷,而是认为存储桶本来就不应该解析html文件,并且拿出了pdf的xss忽略标准。

漏洞?忽略!忽略!忽略!

漏洞?忽略!忽略!忽略!

值得搞笑的是,你家业务大多数用的都是存储桶,然后你以这个存储桶的配置错误来作忽略漏洞的理由??那是不是所有上传到存储桶的XSS漏洞都不认了?

漏洞?忽略!忽略!忽略!

笔者早在2022年就提交了相同的存储桶XSS问题,这意味着这个仅仅需要加一个Content-Disposition: attachment头的问题被你们整治了两年半??

截至2024-09-04 11:00 该漏洞已经被修复。也就是说漏洞提交到漏洞修复的时间不超过一天。

PY交易

为了方便师傅们交流学习,我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例,更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书,小礼物等等,欢迎各位师傅进群交流

由于“威零安全交流群”群聊人数已满200人,扫码进不了的师傅可以添加机器人secbot回复“威零科技”即可加入群聊

漏洞?忽略!忽略!忽略!

漏洞?忽略!忽略!忽略!

原文始发于微信公众号(威零安全实验室):漏洞?忽略!忽略!忽略!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月17日16:39:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞?忽略!忽略!忽略!https://cn-sec.com/archives/3172263.html

发表评论

匿名网友 填写信息