点击上方蓝字关注我们
1
起因
翻看文章时看到bebiks师傅公开了一份漏洞报告,危害和奖金都挺高的。
就想看看怎么玩,之前没搞过js监控这里就了解一下,顺便找了找找有什么工具可以用。
2
漏洞正文
通过js监控发现,出现了一个新的 Google Docs 链接:
https://docs.google.com/forms/d/1cwHTgNBd51ECJ3w-5Hy6LgioJWhJ2qFF_vdlmXb6zao/edit#responses
此 google docs 链接已在位于以下位置的 JS 文件中泄露:
https://xxxxxx.com/assets/static/js/5930.078b8e86.chunk.js
允许攻击者编辑任何内容并查看有关用户的一些敏感数据,例如电子邮件/调查回复。
3
工具推荐
推荐监控工具:
https://github.com/ahussam/url-tracker
可检查不同时间段(每小时、每天、每周、每月)的网页内容,并检测自上次检查以来是否修改了网页内容。它可用于监控 S3、Azure、JS 文件......等。
4
工具案例
这里工具的作者也给出了一个案例,在某次使用打车app的时候,存在莫名其妙的收费。于是进行投诉,客服给发了一个邮件,发现图片挂掉了。
就分析了一下,发现图片存储的Bucket不存在了(也就是过期被回收了)。
NoSuchBucket
在这里就可以通过重新申请,接管Bucket
就是这次的漏洞出现,工具作者就写出了这款工具,用于长期监控。
点个在看你最好看
原文始发于微信公众号(None安全团队):通过监控js获得18000奖金
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论