Wie ich in der Lage war, Ihr Sitzungstoken zu veröffentlichen – Eine Geschichte über blindes XSS in einem Admin-Panel auf redacted.com

Zwei Tage nach dem Absenden meines Berichts für einen kritischen Server Side Request Forgery-Fehler, den ich in einem Programm gefunden habe – https://medium.com/@mase289/a-tale-of-my-first-ever-full-ssrf- bug-4fe71a76e9c4, ich erwachte zu einer E-Mail-Benachrichtigung, die mich darüber informierte, dass meine XSS-Hunter-Nutzdaten auf einer der Subdomains des Ziels ausgelöst wurden.

Blinde XSS-Schwachstellen sind eine Variante persistenter XSS-Schwachstellen. Sie treten auf, wenn die Eingaben des Angreifers vom Server gespeichert und in einem anderen Teil der Anwendung oder in einer anderen Anwendung angezeigt werden. Ein Angreifer fügt beispielsweise eine schädliche Nutzlast in eine Kontakt- / Feedbackseite ein. Wenn der Administrator der Anwendung die Feedbackeinträge überprüft, wird die Nutzlast des Angreifers geladen. Die Angreifereingabe kann in einer völlig anderen Anwendung ausgeführt werden (z. B. einer internen Anwendung, in der der Administrator die Zugriffsprotokolle oder die Anwendungsausnahmen überprüft). Referenz hier: https://www.e-spincorp.com/documentation/blind-cross-site-scripting-xss-attack-vulnerability-alert-and-solution/

Es ist so, dass genau das passiert ist. Als ich am Vortag durch die Anwendung ging, stieß ich auf eine Kontaktseite, auf der das Ziel bestimmte Details des Website-Besuchers erfasste. Geben Sie natürlich meine blinde XSS-Nutzdaten in jedes Textfeld ein und senden Sie das Formular ab. Dies umfasste die Felder Vorname, Nachname, Organisation und Beschreibung. Nachdem ich das getan hatte, ging ich für die Nacht in den Ruhestand und erwartete kein wirklich positives Ergebnis, da meine früheren Versuche, blindes XSS zu finden, bisher keine positiven Ergebnisse erbracht hatten.

Ich bin am nächsten Morgen aufgewacht, habe gefrühstückt und in meiner E-Mail nach einer Benachrichtigung von XSS Hunter gesucht, dass meine Nutzlast in einem Backend-Salesforce-Panel ausgelöst wurde.

Ich hatte Glück! Das Lesen des HTML-Berichts ergab ein DOM-Element, in dem sich meine Nutzdaten widerspiegelten.

Der Bericht erfasste auch die anfällige Seiten-URL, die Benutzer-IP-Adresse, den Referrer-Agenten, die Cookies des Administrators und einen Screenshot einer MailChimp-Oberfläche, mit der die Mailinglisten-Abonnenten des Ziels verwaltet wurden. Die Titel dieser E-Mails weisen darauf hin, dass einige dieser Listen für unternehmensinterne Ereignisse verwendet wurden.


Es ist unnötig zu erwähnen, dass diese Sicherheitsanfälligkeit es einem böswilligen Akteur ermöglicht haben könnte, vertrauliche personenbezogene Daten aus dem Verwaltungsbereich zu entfernen und möglicherweise die Administratoren zu stehlen & # x27; Sitzungstoken, wodurch im Namen des Administrators auf die Anwendung zugegriffen wird.

Der Fehler wurde mit einem auf hoch eingestellten Schweregrad getestet.

Ich hoffe, Sie finden diesen Artikel hilfreich. Offen für Kommentare oder andere Rückmeldungen. Viel Glück und viel Spaß beim Jagen!