在Safari中抓取Host头部内容 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

在Safari中抓取Host头部内容

申博_安全预警 申博 180次浏览 已收录 0个评论

不久前,我的同事Fredrik提到Safari许可域名中包罗特别字符。 他在Detectify Crowdsource Slack中分享了这个状况。这也引发了我的兴致,以是我以为对此举行相干研讨。

我们须要注重,除OS X以外,Safari还存在于iOS上,以是这也致使Safari成为最受迎接的浏览器之一。

在浏览了博客文章(以后已被翻译成英文)后,我去了HackerOneBugcrowd,拿到了一些取得赏金的顺序并将一切域名都放到了一个文本文件中。 在我手动完成这些操纵后,由于没有生存上一次列表,以是可以或许丧失了一些内容。

以后我编写了一个Python函数来轮回遍历域,并运用asdf.[domain]的纪录生存这些域。 可以或许假定这些域支撑通配符,而我终究得到了约莫80个域名。

def wildcard(d):
    if subprocess.Popen(["dig", "asdf."+d, "+short"], stdout=subprocess.PIPE).communicate()[0]:
        return True

细致检察该列表,我们发明显着大多数只是将*.[domain]重定向到[domain]www.[domain],以是让我们再次运用Python来资助我们减少这个列表。

requests.packages.urllib3.disable_warnings()
def check(d):
    try:
        r = requests.get("http://asdf." + d, verify=False)
        if re.match("^http(s)*:\/\/(www.)*"+d, r.url):
            return False
    except:
        print "Error: " + d
    return True

此时我们得到了不到50个分歧的域名,然则这些域名很少可以或许手动完成的。

个中很多页面会重定向到默许页面(比方,paypal-forward.com老是重定向到paypal.com),而若是用户在要求中安排了不范例的字符则
会响应效劳器毛病。个中一些实际上是HTML编码的URL。依据我们上面的内容,我找到了三个分歧的网站作为剖析。

First unnamed service

这多是域名中特别字符直接引发的XSS。

与公司取得本身的[company].slack.com相似,运用此效劳可取得本身的子域名。 注销时转到域意味着会显现登录表单,包孕子域。 以下所示:

<form action="https://subdomain.chatservice.com" method="post">
 <input id="user" autofocus>
 <input id="pass">
</form>

第一个涌现题目是我们不克不及简朴地插进去剧本符号举行注入进击。 虽然Safari许可局部特别字符的输入,但有些字符是不许可的。 除使域无效的字符(比方/)以外,我们很快也发明域也会对某些字符举行自行删除操纵。

我最先浏览form-tag所支撑的局部并实验注入一切参数。

"onfocusin="alert(1)"d="

(onfocusin与onfocus分歧,而且在输入框被监控的情势下事变一般)。

如今我们只让XSS测试职员绕过。 由于此payload仅适用于Safari,若是我们不克不及绕过XSS的搜检模块,它就变得毫无价值。 荣幸的是,我们须要做的就是记着该效劳删除哪些字符,并响应地变动我们的payload。

"onfo%0ccusin="alert(1)"d="

Shopify

Shopify是下一个列表中的目的。 他们在* .shopify .com* .myshopify.com上都有一个通配符,两者都定位到同一个页面。 看一下源代码和Safari主机的内容,我们须要清晰将要做的事变。

我们必需从诳骗正则表达式的搜检最先以便明白我们在* .shopify.com中未知的内容。 我们只需在域名中增加句点便可轻松完成,比方hehehe.shopify.com./

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

然后我们经由过程 jQuery’s ().html增加主机名。 早先我想注入相似于<svg•onload=alert(1)>的payload,但事实证明效劳器在我试图运用非空格字符时谢绝举行复兴(比方%0c)。

运用().html函数,我终究得到了以下解决方案:

http://as<script>eval(location.hash.substring(1));df<!--.sectest42.shopify.com./#alert(document.domain)

然则这个破绽并没有赏金嘉奖,由于在shopify.com和myshopify.com的子域上实行剧本不会致使分外的平安风险Shopify许可客户将文件上传到cdn.shopify.com,并在myshopify.com的子域上托管恣意内容。

话虽如此,但他们也非常好地处置惩罚了申报,并勉励我可以或许在他们处置惩罚完题目后公然表露其平台上的破绽。整体而言,这是一种兴奋的破绽挖掘体验,我们如今已引见了怎样经由过程典范操纵反射XSS和运用JavaScript来完成XSS。

Asian based webstore

当在子域中运用特别字符时,我们遇到了一个典范的毛病,这也就反应了体系轻易遭到XSS的进击。

在Safari中抓取Host头部内容

然则,我并没有比HTML注入消费更长时候。一切payload都将经由过程平安考核职员的考核,这关于仅限Safari的破绽来说是没有意义的。

(我实际上写了另外一个剧正本实验从%00到%FF的一切字符,以确认没有字符被效劳器端过滤掉,这是与第一个纪录要领相似的另外一种要领)

A Christmas story of errors, beers and passwords

在举行这些操纵时,我有时发明Safari中的证书毛病页面也轻易遭到进击。而通配符一样可以或许触发此毛病,与x.slack.comx.y.slack.com比拟,个中证书用于* .example.com但Web效劳器支撑*.*.example.com

由于我们可能可以将所有请求重定向到有缺陷的证书,另一个关键的触发点是让站点将MITM视为受害者。最常见的轻量级小规模需求是攻击者和受害者使用相同的无线收集。

早些时候,这看起来像是UXSS的进步,但事实证明Safari修改了源代码。

我尝试了这个缺陷,但是没有开发出其他更新的应用程序,我们向苹果公司报告了这个缺陷(cve-2018-4133)。

Safari支持比我的测试限制更多的代码管理器,所以我使用了之前测试Bug Bounty或Responsible Disclosure的代码管理器时使用的相同技巧来获得更短的列表。

这类中比较流行的加密管理器之一支持自动添加操作,您可以应用选项卡API搜索状态信息。
这意味着我可能会窃取任何触发Safari漏洞的网站的代码。我们能否在iOS上复制上述内容,取决于系统如何应对延期处罚。所以这也提醒我们,这些自动填充功能应该被禁用。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明在Safari中抓取Host头部内容
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址