实战 | 记一次3000欧元赏金的IDOR + Self XSS漏洞挖掘

每个黑客都会遇到这个，第一个赏金。我实际上无法解释它的感觉，但我知道你们中的大多数人都能理解它的感觉。让我告诉你我第一次赏金的故事。当我们开始在 Web 应用程序安全中进行漏洞赏金时，我们大多数人都会从 XSS（跨站脚本攻击）开始，故事从这里开始。

Markdown — Websockets — 反射型 XSS：

在进入攻击之前，让我们了解一些markdown、websockets和反射xss的基础知识。

• MarkDown

在 Intigriti、Bugcrowd 或 HackerOne 中提交报告时，您可能会遇到此Markdown。Markdown 有助于更好地表示数据，从而提高可读性。例子，
# heading - 用于标题
** input ** - 用于粗体文本
同样反引号（`）用于表示代码块。

• WebSocket

WebSocket是一种通过 HTTP 运行的计算机通信协议，它提供了客户端和服务器之间的双向通信通道。
聊天应用程序广泛使用 Websocket 进行无障碍通信。与 HTTP 请求不同，WebSocket 连接保持打开状态，服务器可以在连接生命周期内随时向客户端发送下游数据。

• 反射型 XSS：

当应用程序在 HTTP 请求中接收数据并以不安全的方式将这些数据包含在即时响应中时，就会出现反射式跨站点脚本（或 XSS）。
参数中的值将在响应中返回，它不存储在数据库或任何地方。例子，
https://www.ladecruze.com/blogs?query=xss<img src=x onerror=alert(document.domain)>
响应可能如下所示，
<html>
<body>
抱歉，我们没有找到 <img src=x onerror=alert(document.domain)>
</body>
</html>
在这里，有效负载将呈现为 html 而不是文本。

Intigriti 是我最喜欢的漏洞赏金平台之一，它经常与安全社区互动。我喜欢他们的 ctfs 和时事通讯。我最喜欢的黑客在 Intigriti 工作，我从中学到了很多。

选择正确的程序总是很重要的。我花了很多时间选择程序。我不小心在我的 Burp中看到了除www.intigriti.com^[1] 之外的其他域，我没有搜索过。当我查看请求时，我知道它来自 Intigriti 使用的第三方聊天应用程序。黑客使用此应用程序联系 Intigriti 支持。

我插入有效载荷而不是文本的肌肉记忆是该错误背后的主要原因。当我输入<img src=x onerror=alert()>并得到一些不寻常的有效负载渲染时，我拦截了请求并开始测试 XSS。

测试了几分钟后，我发现反引号 (`) 有问题，并在里面给出了有效载荷，如

<svg onload=alert(document.domain)>

成功发现XSS漏洞

随后，我向 Intigriti 报告，对方告知

我对此进行了调查，恐怕您在这里遇到了误报。我们的聊天通过 WebSockets 进行通信，Burp 拦截来自和发往 WebSocket 服务器的消息。您正在更改来自 websocket 服务器的消息，攻击者无法干预。您所描述的“消毒延迟”是因为 websocket 自动刷新信息（这就是 websockets 的工作方式）。如果您找到一种方法来存储它，换句话说：如果您能够注入有效负载并且它在刷新后仍然出现，那么我们可以再看一下它。但就目前而言，这似乎是预期的行为。
最终我得到了 500 欧元的self xss

如何让漏洞变得更加严重我开始深入思考，最终找到了一种可以真正利用其他用户的方法。

XSS 只是从我这边反映，如果我可以窃取其他黑客的聊天并插入有效载荷，以便我可以对他们进行XSS。

IDOR（不安全的直接对象引用）不安全的直接对象引用(IDOR) 是一种访问控制漏洞，当应用程序使用用户提供的输入直接访问对象时会出现这种漏洞。IDOR 一词因出现在 OWASP 2007 Top 10 中而广为人知。

聊天身份验证如何工作？

Intigriti 将第三方聊天应用程序的脚本嵌入到域中以加载聊天应用程序。向第三方聊天应用程序发出请求以获取密钥，并且该密钥用于获取聊天信息。

应用程序如何将密钥映射到用户，应该有一些映射吧？当我查看获取密钥的请求时，我看到一个带有hash的 vistorId 参数，用于获取密钥。我尝试将hash更改为我的测试帐户哈希并且它有效。

我们实际上意识到了这一点。如您所见，visitorID 具有相当大的熵。它不容易被暴力破解：攻击者不能简单地猜测它。
如果攻击者设法窃取了vistorId ID，他也将能够窃取聊天内容，甚至可能更多。
为了测试，您能解释一下为什么将其标记为关键吗？
大熵值不能被蛮力强制，注意：它可能因人而异，有些人发现六个字符的长度也更大。这完全取决于猜测正确值所需的迭代次数。

如果我不能暴力破解，如何窃取hash？这就是 IDOR 的来源，我开始寻找响应中包含hash的请求。显然，这应该是使用电子邮件或用户名或 userId 等用户数据生成的。我开始篡改请求中影响响应hash的每个参数。

我发现平台其他黑客的用户名是用来检索hash的。没有任何其他授权检查。这些用户名可以在 Intigriti 平台的排行榜中找到。

我使用排行榜用户名中的顶级黑客来利用我的漏洞，并且能够窃取他的聊天并像他一样聊天。

所以我在聊天中插入了有效载荷，当黑客打开 Intigriti 时，会发送一个请求来获取和渲染聊天，BOOM！XSS将在没有任何用户交互的情况下被触发，成功。

最后随后，我报告了问题，Intigriti 第二天就禁用了聊天功能。

在评估此问题的总体严重性时，我们已将聊天身份验证问题 ([ INTIGRITI-IKIN5J ]) 考虑在内。
我们决定将此报告的严重性提高到高，因为这将允许在其他用户的会话中注入 HTML（在某些情况下，这可能会导致旧浏览器上的 XSS 或无法启用 CSP）。
总共，您将获得 3,000 欧元的赏金（这是我们目前的关键支出）：[ INTIGRITI-9115R1 ] 为 1,500 欧元，[ INTIGRITI-IKIN5J ] 为 1,500 欧元。
在您周六发表评论后，我们立即禁用了受影响的聊天插件，并就此联系了第三方供应商。我们的调查仍在进行中，但我们已经想支付赏金了。鉴于这似乎是第三方插件中的一个漏洞，我们目前无法允许博客或向第三方披露有关它的详细信息。我们将在未来采取措施防止此类攻击，并将禁用或替换插件，直到找到合适的解决方案。
感谢您让 intigriti 更安全！