Saya baru-baru menemukan XSS Disimpan di Facebook, yang mengakibatkan Reward Bounty Bug. Jika Anda ingin tahu bagaimana XSS yang dapat dimanfaatkan, Anda dapat membaca posting blog rekan saya Mathias 'tentang hal itu. Anyway, berikut adalah cara itu turun.
Saya benar-benar bekerja untuk menemukan kekurangan pada Dropbox untuk memulai dengan. Saya memperhatikan bahwa ketika menggunakan antarmuka web mereka ada beberapa pembatasan pada apa nama file yang diizinkan. Jika Anda mencoba untuk mengubah nama file ke contohnya:
'"> src=x onerror=alert(document.domain)>. txt
itu tidak mungkin. Anda punya kesalahan ini:
Tapi, jika Anda malah, menghubungkan direktori lokal, menciptakan file sana dan disinkronisasikan, Anda mendapatkannya di dalam Dropbox tanpa masalah. Dengan menggunakan metode ini saya dapat menemukan dua masalah dengan pesan pemberitahuan mereka menunjukkan nama file unescaped. Saya melaporkan masalah ini ke Dropbox, mereka ditambal itu benar-benar cepat dan saya ditempatkan pada halaman Special Thanks mereka untuk pengungkapan yang bertanggung jawab.
Nice! Saya membuat grup, dan menemukan koneksi dengan menggunakan "Add File" ikon pada dinding Group:
Saya memilih file yang saya disinkronisasikan ke Dropbox, itu disebut:
'"> src=x onerror=alert(document.domain)>. txt
dan berbagi. Tidak ada yang mengagumkan terjadi kecuali file yang sedang dibagi.
Tapi kemudian, saya mengklik link pada Berbagi-entri.
Pada saat yang sama saya mulai mencari di URL ini Share-popup:
https://www.facebook.com/ajax/sharer/?s=44&appid=210019893730&p%5B0%5D=entry_id&p%5B1%5D=user_that_shared_it_first
URL ini tidak bekerja jika Anda mencoba berdiri sendiri. Itu bagus, masalah XSS tampak seperti itu hanya bisa dipicu oleh interaksi pengguna. Tapi kemudian saya mulai googling dan menemukan bahwa Anda mampu menciptakan Berbagi-URL dengan menggunakan format ini:
https://www.facebook.com/sharer/sharer.php?
Jadi saya mengubah URL saya ke format itu:
https://www.facebook.com/sharer/sharer.php?s=44&appid=210019893730&p%5B0%5D=entry_id&p%5B1%5D=user_that_shared_it_first
Jadi saya mengubah URL saya ke format itu: BAM lagi! Jika Anda login ke Facebook, kode dieksekusi segera setelah Anda mengunjungi link. Buruk. Benar-benar buruk.
Saya diemail Facebook lagi, menjelaskan bahwa Anda benar-benar bisa memicu XSS dengan hanya mengunjungi link.
Saya juga mencoba apakah saya bisa mendapatkan layanan lain untuk berperilaku dengan cara yang sama. Dropbox dan Facebook memiliki hubungan khusus ini, jadi saya ingin tahu apakah masalah ini diisolasi atau jika saya bisa mereproduksi dengan menggunakan layanan lain.
Pergi ke Pinterest. Menciptakan Pin bernama:
'"> src=x onerror=alert(document.domain)>
dan berbagi di Facebook menggunakan akun pengujian saya. Aku menekan tombol Share di atasnya.
Saya benar-benar bekerja untuk menemukan kekurangan pada Dropbox untuk memulai dengan. Saya memperhatikan bahwa ketika menggunakan antarmuka web mereka ada beberapa pembatasan pada apa nama file yang diizinkan. Jika Anda mencoba untuk mengubah nama file ke contohnya:
'"> src=x onerror=alert(document.domain)>. txt
itu tidak mungkin. Anda punya kesalahan ini:
Tapi, jika Anda malah, menghubungkan direktori lokal, menciptakan file sana dan disinkronisasikan, Anda mendapatkannya di dalam Dropbox tanpa masalah. Dengan menggunakan metode ini saya dapat menemukan dua masalah dengan pesan pemberitahuan mereka menunjukkan nama file unescaped. Saya melaporkan masalah ini ke Dropbox, mereka ditambal itu benar-benar cepat dan saya ditempatkan pada halaman Special Thanks mereka untuk pengungkapan yang bertanggung jawab.
Nice! Saya membuat grup, dan menemukan koneksi dengan menggunakan "Add File" ikon pada dinding Group:
Saya memilih file yang saya disinkronisasikan ke Dropbox, itu disebut:
'"> src=x onerror=alert(document.domain)>. txt
dan berbagi. Tidak ada yang mengagumkan terjadi kecuali file yang sedang dibagi.
Tapi kemudian, saya mengklik link pada Berbagi-entri.
BAM! Judul entri tersebut tidak melarikan diri dengan benar dan saya bisa mendapatkan XSS Stored dipicu. Dengan menggunakan file dalam Dropbox saya saya bisa menyuntikkan kode script yang dieksekusi di Facebook.com.
Saya melaporkan hal ini ke Facebook langsung menggunakan whitehat Kerentanan mereka sistem Pelaporan, mengatakan kepada mereka itu adalah masalah mendesak dan bagaimana saya berhasil mendapatkannya dieksekusi. Masalahnya adalah pada waktu itu hanya mempengaruhi Share-popup dalam halaman Group dan hanya bisa dipicu oleh interaksi pengguna, serius atau tidak, itu jelas tidak mempengaruhi semua pengguna di Facebook.
Saya melaporkan hal ini ke Facebook langsung menggunakan whitehat Kerentanan mereka sistem Pelaporan, mengatakan kepada mereka itu adalah masalah mendesak dan bagaimana saya berhasil mendapatkannya dieksekusi. Masalahnya adalah pada waktu itu hanya mempengaruhi Share-popup dalam halaman Group dan hanya bisa dipicu oleh interaksi pengguna, serius atau tidak, itu jelas tidak mempengaruhi semua pengguna di Facebook.
https://www.facebook.com/ajax/sharer/?s=44&appid=210019893730&p%5B0%5D=entry_id&p%5B1%5D=user_that_shared_it_first
URL ini tidak bekerja jika Anda mencoba berdiri sendiri. Itu bagus, masalah XSS tampak seperti itu hanya bisa dipicu oleh interaksi pengguna. Tapi kemudian saya mulai googling dan menemukan bahwa Anda mampu menciptakan Berbagi-URL dengan menggunakan format ini:
https://www.facebook.com/sharer/sharer.php?
Jadi saya mengubah URL saya ke format itu:
https://www.facebook.com/sharer/sharer.php?s=44&appid=210019893730&p%5B0%5D=entry_id&p%5B1%5D=user_that_shared_it_first
Jadi saya mengubah URL saya ke format itu: BAM lagi! Jika Anda login ke Facebook, kode dieksekusi segera setelah Anda mengunjungi link. Buruk. Benar-benar buruk.
Saya diemail Facebook lagi, menjelaskan bahwa Anda benar-benar bisa memicu XSS dengan hanya mengunjungi link.
Saya juga mencoba apakah saya bisa mendapatkan layanan lain untuk berperilaku dengan cara yang sama. Dropbox dan Facebook memiliki hubungan khusus ini, jadi saya ingin tahu apakah masalah ini diisolasi atau jika saya bisa mereproduksi dengan menggunakan layanan lain.
Pergi ke Pinterest. Menciptakan Pin bernama:
'"> src=x onerror=alert(document.domain)>
dan berbagi di Facebook menggunakan akun pengujian saya. Aku menekan tombol Share di atasnya.
Saya kagum - itu memiliki masalah yang sama.
Facebook menjawab kepada saya, meminta saya bagaimana saya bisa menempatkan file pada Dropbox dengan nama file tersebut. Saya menjelaskan bagaimana ini dilakukan dan juga mengatakan kepada mereka bahwa layanan yang Anda berbagi dari tidak masalah, itu adalah masalah umum dengan melarikan diri yang menciptakan vektor rentan pada halaman Saham-.
Mereka menjawab dan mengatakan bahwa itu memang masalah yang sama dan mereka harus melihat ke dalamnya ASAP.
Sementara itu, saya mencoba link pada perangkat yang berbeda. IPhone saya tidak bisa mendapatkan XSS yang dijalankan. Segera setelah saya mengunjungi halaman, saya diarahkan ke https://m.facebook.com
Facebook menjawab kepada saya, meminta saya bagaimana saya bisa menempatkan file pada Dropbox dengan nama file tersebut. Saya menjelaskan bagaimana ini dilakukan dan juga mengatakan kepada mereka bahwa layanan yang Anda berbagi dari tidak masalah, itu adalah masalah umum dengan melarikan diri yang menciptakan vektor rentan pada halaman Saham-.
Mereka menjawab dan mengatakan bahwa itu memang masalah yang sama dan mereka harus melihat ke dalamnya ASAP.
Sementara itu, saya mencoba link pada perangkat yang berbeda. IPhone saya tidak bisa mendapatkan XSS yang dijalankan. Segera setelah saya mengunjungi halaman, saya diarahkan ke https://m.facebook.com
dan halaman yang tidak memiliki masalah yang sama. Tapi saya juga menyadari bahwa Anda bisa memaksa Facebook untuk melewati redirect dengan menggunakan parameter yang disebut m2w, jadi jika saya ditambahkan bahwa untuk URL:https://www.facebook.com/sharer/sharer.php?s=44&appid=210019893730&p%5B0%5D=entry_id&p%5B1%5D=user_that_shared_it_first&m2w
Saya bisa memicu URL pada kedua perangkat mobile dan desktop. Lain email ke Facebook.
Suatu hari setelah itu saya melihat bahwa POC-link tidak bekerja lagi, itu akhirnya ditambal. Saya mengatakan kepada mereka aku tidak bisa mereproduksi lagi dan itu tampak seperti hal itu tetap.
Suatu hari kemudian saya mendapat email ini:
Suatu hari setelah itu saya melihat bahwa POC-link tidak bekerja lagi, itu akhirnya ditambal. Saya mengatakan kepada mereka aku tidak bisa mereproduksi lagi dan itu tampak seperti hal itu tetap.
Suatu hari kemudian saya mendapat email ini:
Nice one!
Rentang tanggal:
.Awal laporan dan POC-link mengeksekusi XSS hanya dengan mengunjungi: Dec 22
.Menjelaskan ruang lingkup Dropbox-syncing dan diperpanjang mengenai layanan dan perangkat: Desember 27
. Tetap Kerentanan: Des 28
.Menerima pesan tentang Bounty Bug: Des 29
Rentang tanggal:
.Awal laporan dan POC-link mengeksekusi XSS hanya dengan mengunjungi: Dec 22
.Menjelaskan ruang lingkup Dropbox-syncing dan diperpanjang mengenai layanan dan perangkat: Desember 27
. Tetap Kerentanan: Des 28
.Menerima pesan tentang Bounty Bug: Des 29
Juga, jika Anda ingin memeriksa situs web Anda sendiri untuk kerentanan XSS dan banyak lagi, coba akses awal kami di Detectify.com