聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Stealthy 指出通过同样技术在这些域名中实现了队列投毒,从而在无需用户交互的情况下可披露数据并接管账户。
这些漏洞影响apple.com、school.apple.com 以及 mapsconnect.apple.com的服务器。前两个网站分别供企业和院校管理设备、应用和账户,第三个网站供组织机构在苹果的地图应用上认领并管理商家列表。
Stealthy 在文章中指出,这些HTTP 请求走私缺陷是 CL.TE 或 “Content-Length Transfer-Encoding” 问题,“前段服务器读取请求中的 Content-Length 投,后端服务器读取 Transfer-Encoding 头。” 由于这些服务器对请求在何处开始和结束没有达成一致,因此会产生漏洞。
Stealthy 指出,“使用换行符字符且在标头名称中使用空格的苹果网站上的 Transfer-Encoding 头需要转换。这一转换即Transfer-Encodingn : chunked 成功地将标头滑过前段服务器,但它仍然由后端使用。”
根据这一观察,Stealthy 构造了第一个概念验证。他解释称,“走私路径是 /static/docs,因为这里存在重定向,使用的是重定向中的 Host 标头值。因此,我可将实时用户重定向到服务器中,确保请求走私影响生产用户。”这将使攻击者重定向 JavaScript 导入并在主机上实现存储型跨站点脚本 (XSS)。
更具影响力的是服务器的队列投毒漏洞。队列投毒攻击技术“走私完整的请求并破坏响应队列,从而向非计划用户发送随即响应。” Stealthy 指出,所有响应数据,包括 Set-Cookie 标头在内,可遭该攻击技术披露。
苹果迅速响应,修复了这些漏洞,并为这三个漏洞分别支付1.2万美元的奖励。
https://portswigger.net/daily-swig/apple-paid-out-36-000-bug-bounty-for-http-request-smuggling-flaws-on-core-web-apps-research
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):20岁黑客发现苹果核心 web 应用中的严重漏洞,获奖$3.6万
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论