现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
大家好,在这篇文章中,我将解释我是如何在 2024 年的第一天在bugbounter中发现 4 个程序错误的。
https://app.bugbounter.com/
我首先访问了 target.com,并开始在该网站上花费一些时间。这非常重要,因为您在目标站点或目标应用程序上花费的时间越多,您对站点的了解就越深入,并且发现的错误就越多。
Bug1 个人资料页面上的HTML注入和XSS
→target.com/profile
我访问了 target.com/profile 并单击了编辑个人资料,然后我在个人资料描述中添加了“123<>”,然后我检查了页面源,没有过滤或waf。
<img src=”https://static.wikia.nocookie.net/mrbean/images/4/4b/Mr_beansholiday_ver2.jpg">
<h1>el-cezeri — First bugs in 2024 :)</h1>
<a href=https://attacker.com>Click Me !</a>
Bug2 通过SVG进行XSS
首先,我创建了一个帖子“123<>”,但有些字符有块。
只有某些标签有效,例如,当我放置 <script> 标签或 <a href 标签时,它被删除了。后来,在创建帖子时,我意识到我们可以创建带有 SVG 文件扩展名的帖子。
我快速上传了包含 XSS 负载的 SVG 文件并创建了一篇帖子。示例 svg 文件:
https://gist.github.com/rudSarkar/76f1ce7a65c356a5cd71d058ab76a344
https://cdndn.target.com/images/helloworld.svg
而svg链接就像是在新选项卡中打开图像或访问url时成功触发了这个XSS。
有时它不允许 svg,因此使用 burp 捕获请求并将文件扩展名设置为 svg.png 或者您可以尝试更改内容类型标头。:)
然后我意识到其他标签,如 <script> 等被阻止,当我尝试以下加载时,xss 成功工作:)
"><img src=x onerror=alert("cezeri")>
Bug3 删除另一个用户的帖子
→target.com/dashboard
我创建了一个帖子,然后我意识到其他用户可以在他们的社交媒体帐户上分享或喜欢我的帖子。
链接是这样的:twitter.com/POSTID,或者当我喜欢这个帖子时,我用burp捕获请求,我可以找到帖子ID。
“code”:POSTID
然后我尝试删除我创建的帖子,并通过 burp 捕获了此请求。我用身份证号码替换了受害者的帖子,我可以成功删除我想要的帖子。
这些是我今年遇到的第一个 bug,我在 VDP 中发现了这些错误。我报告了 4 个错误,其中3个被接受。尝试在目标上花更多的时间并尝试理解每个功能。
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
信 安 考 证
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...
推 荐 阅 读