某里巴巴存在任意URL跳转漏洞(提交被驳回故公开)技术交流

  • A+
所属分类:安全文章

某天看到一篇文章,pdf支持JavaScript脚本灵光一闪,如果把xss代码加到pdf文件中会怎么样

经过测试,构造了一些可行的poc文档,眼看双十一快到了,顺便测试下某里巴巴


经测试:某里巴巴SRC上传图片处可以pdf文件

某里巴巴存在任意URL跳转漏洞(提交被驳回故公开)技术交流

获取到pdf文件链接

https://security.alibaba.com/api ... XXcS.pXa.tfsprivate

里面有我的poc代码,在谷歌浏览器或者谷歌内核的浏览器下打开,就会跳转到第三方网站(下个迅捷pdf编辑器,poc自己找)


 ASRC任意URL跳转有了


尝试XSS,在某宝论坛,发帖,源码模式下插入poc


POC:

某里巴巴存在任意URL跳转漏洞(提交被驳回故公开)技术交流

发帖,预览,成功触发任意URL跳转

地址:https://maijia.bbs.taobao.com/detail.html?postId=8969034

纯文本模式给钉钉邮箱,阿里企业邮箱发送包含POC的内容,用户在谷歌内核浏览器下打开就会触发URL跳转


如果跳转的网站是个钓鱼网站,那岂不是危害很大,或者说,淘宝论坛流量那么大,劫持一篇热帖岂不是可以做广告?


赶紧提交给ASRC,经过漫长的等待,得到消息,厂商已驳回


截图下沟通记录

某里巴巴存在任意URL跳转漏洞(提交被驳回故公开)技术交流

原本还打算30天后在公开的,发现后面提交的相关漏洞都被忽略了,很明显ASRC平台不认为这是漏洞,不打算修复,既然如此,公开姿势给大家吧


修复方案:

而作为网站管理员或开发者,可以选择强迫浏览器下载 PDF 文件,而不是提供在线浏览等,或修改 Web 服务器配置的 header 和相关属性。


统一回复下,该问题已经提交到谷歌安全中心。另外,我为什么要追着阿里修复,不是为了那几块钱的赏金,而是为了广大的阿里用户,我不希望某天我身边的朋友或者不认识的朋友被钓鱼,被骗的倾家荡产!人生失去希望,(以前身边有过一位这朋友,支付宝被盗...然后...吃了一个月馒头?)谷歌什么时候修复是谷歌的事情,迭代下去搞到明年修复,大后年修复都是有可能的,况且版本这么多,不更新版本的人更多。


阿里修改下配置文件就能避免被钓鱼,说这么多有点肉麻了,还是那句话,希望各大厂商能为自己用户的安全负责。想想自己为什么要提交漏洞,不忘初心,方得始终。


发布下最新情况,ASRC以及确认了漏洞,状态修复中,有朋友反映淘宝论坛的漏洞已经修复,如果大家又发现利用该漏洞钓鱼的,请及时提交情报到ASRC应急响应中心!阿里将会有相应的奖励!

某里巴巴存在任意URL跳转漏洞(提交被驳回故公开)技术交流


本文始发于微信公众号(T00ls):某里巴巴存在任意URL跳转漏洞(提交被驳回故公开)技术交流

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: