Hello there, ('ω')ノ
XSSをicloud.comに保存を。
脆弱性:
保存されたXSS
記事:
https://vbharad.medium.com/stored-xss-in-icloud-com-5000-998b8c4b2075
今回は、icloud.comでStored Cross-Site Scripting(XSS)を見つけた方法を。
最初の発見と搾取:
やみくもにicloud.comを選び、icloud.comで少なくとも1つのバグを見つけることに。
CSRF、IDOR、Business Logic Bugsなど、icloud.comで多くの脆弱性を試しましたが。
何も得られず。
バグを見つけようとし続け、何度も試みた後に。
icloud.comでXSSを見つけることに。
そこで、XSSを見つけるための最初の偵察を開始して。
誰もが知っているように。
文字列がWebページまたは応答に反映されるXSSを試すことができて。
icloud.comでログインし、どこにでもペイロードを挿入し。
ペイロードまたは文字列が応答に反映されているWebページを探すのに。
何度も試みた後、ペイロードが発射された1つのエンドポイントを取得して。
XSSは、下記の[設定]>>[ブラウザのすべてのバージョン]で起動して。
再現する手順:
1.https://www.icloud.com/pages/または。
https://www.icloud.com/keynotesにアクセスして。
2.XSSペイロード「><img src=x onerror=alert(0)>」を。
/pagesまたは/keynotesに挿入して。
3. これをユーザに送信するか、任意のユーザと共同作業することにして。
4. 次に/pagesに移動し、いくつかの変更を加えて保存して。
5.再度、/pagesに移動し、[設定]>>[ブラウザのすべてのバージョン]に移動して。
6.[すべてのバージョンを参照]をクリックした後に XSSがトリガされて。
Best regards, (^^ゞ