1
起因
翻看文章时看到bebiks师傅公开了一份漏洞报告,危害和奖金都挺高的。
就想看看怎么玩,之前没搞过js监控这里就了解一下,顺便找了找找有什么工具可以用。
2
漏洞正文
通过js监控发现,出现了一个新的 Google Docs 链接:
https://docs.google.com/forms/d/1cwHTgNBd51ECJ3w-5Hy6LgioJWhJ2qFF_vdlmXb6zao/edit#responses
此 google docs 链接已在位于以下位置的 JS 文件中泄露:
https://xxxxxx.com/assets/static/js/5930.078b8e86.chunk.js
允许攻击者编辑任何内容并查看有关用户的一些敏感数据,例如电子邮件/调查回复。
3
工具推荐
推荐监控工具:
https://github.com/ahussam/url-tracker
可检查不同时间段(每小时、每天、每周、每月)的网页内容,并检测自上次检查以来是否修改了网页内容。它可用于监控 S3、Azure、JS 文件......等。
4
工具案例
这里工具的作者也给出了一个案例,在某次使用打车app的时候,存在莫名其妙的收费。于是进行投诉,客服给发了一个邮件,发现图片挂掉了。
就分析了一下,发现图片存储的Bucket不存在了(也就是过期被回收了)。
NoSuchBucket
在这里就可以通过重新申请,接管Bucket
就是这次的漏洞出现,工具作者就写出了这款工具,用于长期监控。
文章来源:None安全团队
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END