XSS thông qua PATH
Published in
3 min readAug 26, 2019
- Gần đây tôi có một case bug bounty khá vui…Chuyện là trong quá trình nhìn Proxy History, tôi thấy có một request chọn sản phẩm. Tôi liền thực thi nó với chuỗi hehehe<script> thì thấy ứng dụng nó response y chang
- Thì ra ứng dụng nó log lại cái endpoint người dùng truy cập, rồi response lại. Dấu hiệu này hứa hẹn lỗi XSS. So simple. Tôi liền confirm
- Tưởng mọi chuyện đơn giản thế này thì tôi ko mắc công kể cho các bạn nghe. Vấn đề ở đây là khi tôi thực hiện request thông qua Repeater, với payload không encode thì ứng dụng sẽ reflected lại gía trị như vậy (dẫn đến XSS). Nhưng nếu tôi copy url này paste vào browser, với tính năng của tất cả browser phiên bản gần đây thì nó sẽ tự động encode url này và dẫn đến không bị XSS.
- Thông thường ngữ cảnh real case thì phải cho victim truy cập vào endpoint đó bằng browser, nên ta không thể lấy dấu hiệu lỗi XSS thông qua Repeater để nói là nó bị lỗi. Tôi có biết nếu sử dụng IE8 thì có thể giải quyết vấn đề này. Tuy nhiên nếu chứng minh nó bằng IE8 thì sẽ bị đánh là P5 hoặc một số chương trình sẽ không chấp nhận. Thế là tôi liền nghiên cứu thì biết có một kỹ thuật là dùng phương pháp truy cập nó thông qua redirect 302 thì sẽ không bị encode (Áp dụng chỉ cho IE11/Egde phiên bản gần nhất, không áp dụng cho các browser khác) Bạn có thể tham khảo: https://speakerdeck.com/masatokinugawa/xss-attacks-through-path
- Tôi bắt đầu setup một server và soạn một file xxx.php với nội dung
- Sau đó thực hiện đường dẫn sau trên IE11 đã update
- BOOOOOM ! :))
- Bởi vì kỹ thuật này chỉ dùng được cho IE và Edge ( phiên bản gần nhất) nên nó thường được đánh P4. Thế là tôi quyết định không submit nó (Tôi sợ bị ảnh hưởng điểm Average severity :D). Có một số chương trình P4 là 300$, thậm chí là $500 hay nếu các bạn chơi các chương trình ngoài các platform (không tính điểm)…thì nó sẽ có ích cho các bạn. Happy hacking !
