サービス拒否前（未確認のアカウントに2FAを設定）を。

脆弱性：

　アプリケーションレベルのDoS

記事：

　https://medium.com/@kalvik/pre-denial-of-service-set-up-2fa-on-unverified-account-8399af52ea2d

今回は、未確認のアカウントで2FAを設定して。

その電子メールの実際のユーザのサービス拒否を。

引き起こす方法について説明することに。

被害者が、まだ自分のアカウントを登録していないと仮定して。

セットアップフローは、次のとおりで。

　・アカウントのサインアップ

　・電子メールの確認

　・2FAのセットアップ

電子メールを確認しないと、セキュリティ標準に従って2FAを設定できず。

ただ、この制限をうまく回避して、電子メールを確認せずに。

2FAをセットアップすることができて。

Webサイトは、websocketを使用していて。

確認済みのアカウントで2FAを設定すると。

最初のWebSocketリクエストは、下記のとおりで。

　[“{\”msg\”:\”method\”,\”method\”:\”2fa/generateMFA\”,\”params\”:,\”id\”:\”XXXX\”}”]

それで、下記のリクエストだと認証システムアプリで。

2FAを設定するために使用される秘密鍵が返されたので。

　[“{\”msg\”:\”method\”,\”method\”:\”2fa/getSecretKey\”,\”params\”: ,\”id\”:\”XXXX\”}”]

未確認のアカウントから上記のリクエストを送信してみようと思って。

被害者のアカウントにログインして、下記のリクエストを送信すると。

残念ながら、「アカウントが確認されていません」という返信があって。

　[“{\”msg\”:\”method\”,\”method\”:\”mfa/getSecretKey\”,\”params\”:,\”id\”:\”24\”}”]

その後、いくつかのヒットと試行の後に。

下記が、2FAを設定する最初のリクエストだと気づいたので。

被害者のアカウントから下記のリクエストを再度送信すると空白の応答を受け取って。

　[“{\”msg\”:\”method\”,\”method\”:\”mfa/generateMFA\”,\”params\”:,\”id\”:\”XXXX\”}”]

再度、下記のリクエストを送ってみると秘密鍵を取得することに成功できて。

秘密鍵は、10〜12文字の長さで。

　[“{\”msg\”:\”method\”,\”method\”:\”mfa/generateMFA\”,\”params\”:[],\”id\”:\”24\”}”]

Google Authenticatorを開いて、その秘密のコードを使用して。

2FAをセットアップすると成功して。

このようにして、未確認のアカウントで2FAを設定して。

その電子メールの実際のユーザが将来、Webサイトにアクセスするのを。

ブロックすることができて。

Best regards, (^^ゞ

Hello there, ('ω')ノ

XSS用のCloudflareをバイパスすることができた方法を。

脆弱性：

　XSS

記事：

　https://infosecwriteups.com/how-i-was-able-to-bypass-cloudflare-for-xss-e94cd827a5d6

まずは、ログインページに「rurl」というパラメータがあったので。

オープンリダイレクトを試すと成功して。

オープンリダイレクトの脆弱性がある場合は、「a」タグ内の。

「href」属性に挿入されているので、xssを試すことができるので。

xssペイロード「javascript:alert(1)」を試すと。

下記のCloudflareという応答を得ることができて。

バイパス時間：

このような状況に対処するためのお気に入りの方法の１つは。

すべての仮定を１つずつ試すことで。

なので「javascript:」を試すことに。

　■JavaScriptキーワード全体が削除されましたか？
　■「:」の部分は削除されましたか？

これで200の応答を得たので、「javascript:alert」について進めることに。

　■alertキーワードは削除されましたか？
　■alert(1)の括弧が削除されている場合は？

なので、主な問題は括弧にあるので。

「alert`1`」で括弧をバイパスしようとすると成功せず。

しかしながら、throwのような他のテクニックがあって。

多くのフィルタは、関数の呼び出しとパラメーターの受け渡しに不可欠なので。

括弧をブロックするので。

フィルタが挿入されたベクトルの括弧を削除する場合は。

それをバイパスする方法がいくつかあって。

Gareth Heyesが見つけた従来の方法を見ることに。

　https://portswigger.net/research/xss-without-parentheses-and-semi-colons

throwテクニックを使用して、括弧を使用せずに関数に引数を渡すメソッドで。

throwテクニックは、エラーがトリガーされると。

関数呼び出しを割り当てるためにonerrorイベントハンドラーを悪用するので。

throwを使用したXSSペイロードは、下記のようになって。

　javascript:window.onerror=alert;throw 1

このペイロードを試すと、再びcloudflareの応答が。

したがって、ここでは、「base64」、「UrlEncoding」、「Htmlencoding」などの。

他のエンコード手法を使用してさまざまなペイロードを試して。

下記が、最終的なペイロードで。

　javascript%3avar{a%3aonerror}%3d{a%3aalert}%3bthrow%2520document.cookie

Best regards, (^^ゞ