Hello there, ('ω')ノ
250 ドルの CSS インジェクションを。
脆弱性:
CSS インジェクション
記事:
https://medium.com/@dsonbacker/a-250-css-injection-my-first-finding-on-hackerone-8863ad253560
今回は、どのように CSS インジェクションを発見し、ハッカーの公開プログラム内。
それを悪用したかを伝えるための初めての媒体で。
ページを開くと、国旗を変更する機能があることに気がついたので。
この機能がどのように機能するかを分析して。
国旗を変更するには、このエンドポイントに GET リクエストを送信するだけで済んで。
https://redacted.com/search?q=a&country=BR
そこで、「country」パラメータの値をランダムな値に変更すると値が反映されて。
サイトは style 属性内で国パラメータを呼び出し、「.svg)」の後に追加し。
<div class="language" style="background-image: url(/BR.svg)"><div>
これを見て、XSS を悪用するさまざまな手法をテストし始めましたが。
残念ながら効果はなく。
しばらくして、CSSを作成したとき、「/*」を使用して「.svg)」を。
コメントしたことを思い出したので。
これをロードの最後に配置すると、その要素のスタイル全体を制御できるようになり。
概念実証:
この欠陥はフィッシング攻撃に利用される可能性がありますが。
ユーザ情報を盗むには、被害者が古いブラウザを使用する必要があり。
残念ながら、「スタイル」属性から抜け出すことはできず。
そこで、低い失敗として報告することに。
学んだ教訓:
このエンドポイントはかなり前から利用可能であり、多くのハッカーはこの時点で。
Dalfox のようなツールを通過したばかりであり。
Dalfox には欠陥が見つからなかったため、この機能は安全であると結論付けて。
ツールを 100% 信頼してはならず、常にコンテキストを分析して。
反省することを学んでいただければ幸いで。
https://github.com/hahwul/dalfox
Best regards, (^^ゞ
;width:100vw;height:100vh;background-image:url(//myserver/minions.png);/*){kind=link}