记一次1000美金的TikTok盲打XSS的漏洞挖掘
大家好,在本文中,我将分享我在2个TikTok资产发现的XSS漏洞。
当我决定在TikTok 程序中寻找漏洞 时,我花了1个月的时间寻找这个XSS。
当我在TikTok 卖家账户( https://seller-id.tiktok.com/ )上创建产品时,这个 XSS 发现开始了
我在卖家账户的产品名称中插入了 XSS payload。
结果是我得到的https://seller-id.tiktok.com/上没有 XSS 。我决定不再在那里寻找 XSS。
第二天,当我继续测试TikTok Android Apps 资产时,我发现了我的产品的功能。
我试图从上面的Share功能中查看产品 URL 位置。
我得到一个表单的 URL:
https://oec-api.tiktokv.com/view/product/1231414124124124
结果是一样的,这里没有XSS :(
我沉默了片刻,试图查看页面的视图源。
显然我在那里发现了一个易受攻击的 XSS片段,其形式如下:
<meta name='keywords' content='[ ">] , TikTok, TokTok Shop' />
这就是让我放弃的原因,但在我知道回复的片段后,我试图从TikTok 卖家账户(https://seller-id.tiktok.com/)中更改我的产品名称。
现在我使用带有单引号 ( ' )前缀的 XSS payload:
'><img src=x onerror=alert()>
最后出现一个弹出窗口:)
让我们看看来自视图源的响应:
<meta name='keywords' content='[ '><img src=x onerror=alert()>] , TikTok, TokTok Shop' />
是的,'>前缀用于关闭META TAG中的输入值。我在这里存储了 XSS Blind。
我喜出望外,立即向TikTok团队汇报。
报告完问题后,我继续测试,结果发现在我最初的发现中发现了受 XSS 影响的其他TikTok资产的 URL。
受影响的资产是https://shop.tiktok.com/
我还向TikTok团队报告了这一发现,最后获得了1000美金的赏金。
报告详情
https://hackerone.com/reports/1554048
受影响的资产:
https://oec-api.tiktokv.com/
https://shop.tiktok.com/
时间线
报告:4月29日
修复和解决:5 月 13 日
赏金:1000 美元
