原文:Self XSS to Interesting Stored XSS
作者:rohan aggarwal@nahoragg
我在Hackerone的一个程序中找到了这个XSS。关于这个存储型XSS的有趣之事在于:它反映了我尝试通过某种办法升级self-xss,好运眷顾,我成功了。
此外,我不能透露这个程序的名字,因为他们要求不要,但是如果你发现了它,我并不感到惊讶。
那么让我们来看看这个网站,我们称之为redacted.com
我在redacted.com
上耗费了几个小时,试图在上面得到一个xss漏洞,但即使我找到了一个,它也会因为网站正确编码了所有内容而变成一个self-xss。
这不是一个大型网站,在每个端点尝试了XSS后,我放弃了,继续查找其他漏洞。
第二天,我在HackerOne读到了一篇关于AngularJS的模板注入的文章,并且我所遇到的情况与其相似,我之前并不知道还有这种操作。回到redacted.com
,它也运行AngularJS。
所以我尝试了一个简单的表达式,如{{4*4}}
如果不进行编码就会显示16,最后找到一个不进行编码的地方。现在我可以使用这个payload来产生xss了
{{constructor.constructor('alert("XSS")')()}}
好极了!!!我发现了XSS,一分钟后我意识到。。。。DAMN,这是一个self-xss!
现在怎么办???
经过了几个小时的搜索之后,我找到了一个有趣的地方,它正在执行并且不需要任何的身份验证。
介绍下这个有趣的程序的背景:它有一个通过电子邮件发送报告的功能(无论这个网站在做什么),我们可以给报告自定义敏子。这些报告是敏感的,只有能由经过身份验证的用户查看。我之前找到的那个self-xss是存在于报告的名称之中,由于报告只能由经过身份验证的用户查看,即只能我自己查看,无法在其他用户的报告上执行,所以才只是一个self-xss,但真的是这样吗?
我利用了这个功能,向我的邮箱发送了一个报告,发现一个小的取消订阅连接隐藏在角落里
打开链接,BOOM!它显示了报告的名字,没有经过任何身份验证!
柳暗花明了!报告的名称可控并且存在xss,任何人都可以看到这个名称,那么它有可能从一个self-xss升级成存储型xss!
是时候测试它是否编码了大括号
回到发送报告功能,将报告名称命名为之前的payload:
并且保存发送,再次打开取消订阅的链接,BOOM!这是一个存储型XSS。
现在,任何人都可以打开取消订阅链接,xss将被执行。无论受害人是否经过身份验证,这适用于任何人。
Lesson Learned: