Shikata Ga Nai

Private? There is no such things.

Escalating Open Redirect to XSSを訳してみた

Hello there, ('ω')ノ

 

Open Redirect を XSS にエスカレートするを。

 

脆弱性:

 オープンリダイレクト

 XSS

 

記事:

 https://sagarsajeev.medium.com/escalating-open-redirect-to-xss-d2b9355e5f05

 

今回は、ターゲット Web サイトで Open Redirect を見つけて。

XSS にエスカレートし、それによって重大度を高めることができた方法について。

 

ターゲットドメインを次のようで。

https://www.radacted.com/resources?search=hacker

   

 ・「hacker」という検索語がページに反映されていることに注意して。

 ・ここで可能な限りすべての方法で XSS を試したものの見つからず。

  そこで、Open Redirects を探すことに。

 

下記のPayloadsAllTheThings は、大いに助けてくれて。

 

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Open%20Redirect


そして、次のペイロードが XSS をトリガすることがわかって。

    https://redacted.com/resources?next=sub.redacted.com&next=javascript:confirm(document.cookie)

 

被害者がこのリンクをクリックすると、sub.redacted.com にリダイレクトされ。

1 ~ 2 秒以内に XSS ペイロードがトリガされ。

 

ノート:

1.上記のすべての例で、被害者は自分のアカウントにサインインしていて。


2.「next」パラメータは URL に手動で追加して。

 「 ?continue= 」、「 ?redirect_uri= 」、「 ?return=」、「 ?go= 」。

 「?continue_to=」などを手動で追加することもできて。


3.次のパラメータの sub.redacted.com は、ホワイトリストに登録された任意の。

 SLD (セカンドレベルドメイン)にすることができるので。

 ターゲットのサブドメインをそれに追加すると、そのジョブが実行されて。


4.AND 演算子を使用すると、両方の条件が真になるので。

 「javascipt:confirm(document.cookie)」もクライアント側で実行されて。

 

ヒント :

& などの演算子で URL エンコード (または二重 URL エンコード) も試して。

これは、特定のフロントエンドの制限を回避するのに役立つ場合があるので。

 

Best regards, (^^ゞ