我是如何找一个影响数千职业网站的持续型XSS的

admin 2021年7月27日02:52:33评论77 views字数 2079阅读6分55秒阅读模式
点击上方蓝字可以订阅哦

我们Detectify Crowdsource平台的安全研究员ak1t4最近在他的个人博客中向我们解释了,关于他是如何发现并报告了Teamtailor上一个影响数千职业网站的持续型XSS漏洞的过程,其中也包括了我们Detectify的职业网站。在提交报告一天后,Teamtailor便修补了该漏洞。在此我代表Crowdsource感谢ak1t4和Teamtailor的积极响应!

注:这里ak1t4并没有利用持久型XSS访问我们的Detectify主站或者用户数据!

关于Detectify Crowdsource研究员

我是如何找一个影响数千职业网站的持续型XSS的

我叫ak1t4,来自阿根廷。我的专业是网络工程,但直到漏洞赏金计划进入我的生活之前,我从未直接与安全工作有过接触。而如今,我已经成功侵入过Google,Uber,Twitter等知名公司。自2006年12月以来,我便一直是Detectify Crowdsource的成员之一。

现在,让我们一起回顾下此次漏洞挖掘的精彩过程。

信息收集:

这几天让我感到有些无聊,不经意间我又把目光集中在了我的计算机上。当前我正在浏览detectify.com这个网站,突然一股冲动在我脑海中闪现,没错我决定将detectify.com作为我的测试目标。首先我要对目标站点的子域做个扫描,我习惯性的打开了sublister.py脚本,得到的结果如下:

我是如何找一个影响数千职业网站的持续型XSS的

其中一个域名引起了我的注意;“career.detectify.com”,一个指向 – > detectify.teamtailor.com 的子域。

我是如何找一个影响数千职业网站的持续型XSS的

什么是Teamtailor?

Teamtailor是一个可以为你一站式解决招聘需求的职业网站。你可以在这里找到适合与你的职业,或者在这里招聘你所需要的职业人才。

这的确是一个非常好的平台,为此我在Teamtailor.com上也创建了一个帐户,并填写了相关的简历信息。在使用我的帐户和个人资料查看几个小时后,我发现了一个引起我注意的功能 – “share”配置文件功能,其中包含一个这样的URI:https://xxxx.teamtailor.com/shares/LZHstXPRuGA0xXb2FOmRzA/151251-ak1t4-haxor

(在这个URI上,我们可以看到包含了域,路径和哈希字符串,这是用户的页面内容,例如:求职简历。)

我开始研究一些跨域问题,并试图进行利用。经过几次测试,我发现Teamtailor并没有验证域拥有者的共享配置文件。我决定利用这个缺陷,将自己的内容配置文件(哈希)直接注入到career.detectify.com域中,并且最终我成功的将内容注入到了域中!这意味着现在我可以将自定义的内容,注入到现有所有的职业网站上。

现在,让我们来执行一些javascript脚本

我在配置文件中写入了一些javascript脚本,用于测试目标域是否正常弹框。在这里我对Linkedin URL做了测试,填充的有效载荷内容如下:

“javascript:alert(document.domain);//http://someurl.com

点击LinkedIn链接后Javascript将被执行,而程序并不会验证该链接是否是一个合法的http(s)的LinkedIn请求。

可以看到我们的JS脚本,在Detectify的职业网站上被成功执行!

我是如何找一个影响数千职业网站的持续型XSS的

这令我感到非常兴奋!与此同时,我也向Detectify的团队提交了漏洞报告!

突然一个新的想法在我脑海浮现,既然career.detectify.com可以被成功利用,那么是不是意味着我还可以利用Teamtailor管理的其他网站?好吧,让我们尝试一下DNS劫持!我随机抽取了一些网站作为测试对象,让我们看看会有什么意外的收获..

我是如何找一个影响数千职业网站的持续型XSS的

哇! 我们的payload被再次成功执行!所以现在我们可以继续扩大我们的目标范围,我们可以利用Google dork来查找Teamtailor DNS服务器下的站点:

我是如何找一个影响数千职业网站的持续型XSS的

可以看到搜索引擎共为我们查找到了19400条记录!

Detectify回应

我做的第一件事,是将我的发现在Twitter上展示给了来自Detectify的Frans Rosén。然后我又通过email联系了Detectify小组,以便他们能快速的处理这个问题,并帮助我联系Teamtailor。

我是如何找一个影响数千职业网站的持续型XSS的

我是如何找一个影响数千职业网站的持续型XSS的

Detectify小组的响应非常积快迅速,在我报告的当天他们就处理了这个问题。

我是如何找一个影响数千职业网站的持续型XSS的

此外,Detectify小组代表了我向Teamtailor提交了报告。Teamtailor的响应也非常的积极,并在一天之内修复了这个问题。

在此,我要感谢Detectify团队对网络安全的积极态度和大力支持!特别感谢FransRosén,Johan和Yasmin,他们都给了我莫大的帮助和支持!

时间线

2017年6月4日 – 漏洞发现

2017年6月4日 – 提交报告

2017年6月5日 – Detectify成功修复漏洞

2017年6月5日 – Teamtailor团队漏洞修复及确认

我是如何找一个影响数千职业网站的持续型XSS的


本文始发于微信公众号(零组攻防实验室):我是如何找一个影响数千职业网站的持续型XSS的

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月27日02:52:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   我是如何找一个影响数千职业网站的持续型XSS的https://cn-sec.com/archives/356474.html

发表评论

匿名网友 填写信息