- vừa được xem lúc

2 lỗ hổng XSS: Từ Open Redirect đến Reflected XSS và 100€

0 0 2

Người đăng: Bách Trần

Theo Viblo Asia

Sumary

Chào mọi người! Hôm nay mình muốn chia sẻ về một hành trình săn bug thú vị, mà kết quả là mình vừa được accept hai lỗ hổng Reflected XSS trên Intigriti. Câu chuyện lần này không chỉ là về việc tìm lỗi, mà còn là một chút "may mắn" khi mình tìm được cách tăng impact của lỗi để nhận bounty xứng đáng. Nào, cùng mình đi qua từng bước nhé!


1. Cơ Duyên Đến Với Những Program Private

Sau khi mình được nhận một bug bounty kha khá (1000€ cho lần báo lỗi trước), Intigriti đã mời mình vào khá nhiều chương trình private. Mình cảm thấy hơi choáng, vì phải chọn một program trong số đó để bắt đầu. Cuối cùng, mình chọn được một program có thể khai thác nhanh, không cần đăng nhập (unauthen), nên tiết kiệm kha khá thời gian. Các bạn có thể đọc bài trước ở link sau: Mình đã kiếm 1000€ từ một Medium bug như thế nào?

2. Recon: Chuẩn Bị Trước Khi Săn Lỗi

Đầu tiên, mình tiến hành "recon" cơ bản với vài lệnh đơn giản như:

  • subfinder để tìm subdomain
  • httpx để check trạng thái và giao thức
  • gauwaybackurls để tìm các URL từ các nguồn lưu trữ

Sau đó, mình tìm được một URL có dạng: https://sub.redacted.com/signup?redirectTo=/login. Ý tưởng xuất hiện ngay trong đầu mình: tại sao không thử lỗi Open Redirect trước nhỉ?

image.png

3. Khai Thác Open Redirect

Mình thử ngay một payload đơn giản cho Open Redirect:

?redirectTo=https://fb.com

Sau khi đăng ký tài khoản xong, trang web đưa mình thẳng tới https://fb.com. Chắc chắn lỗi Open Redirect đã thành công.

4. Ý Tưởng Tăng Impact: Biến Open Redirect Thành XSS

image.png

Nhưng ngay lúc đó, mình nghĩ rằng chỉ báo cáo lỗi open redirect thì chỉ ở mức "low" vì nhìn lại bounty của tier 2 mức low chỉ có 25€, bounty không đáng là bao. Để kiếm nhiều hơn, mình muốn nâng impact lên thành XSS. Thường thì open redirect có thể được scale lên thành XSS với payload javascript:alert().

Vậy là mình thử với payload:

?redirectTo=javascript:alert()

Và... thành công luôn! image.png

5. Khám Phá Lỗi XSS Thứ Hai Ở Endpoint Login

Tuy nhiên, mình vẫn chưa dừng lại ở đó. Khi đăng nhập bình thường, không có gì xảy ra, nhưng chợt mình nghĩ: Tại sao không thử tham số redirectTo với endpoint /login? Vậy là mình thử ngay payload ở /login, và... bùm! Thêm một lỗ hổng XSS nữa xuất hiện. Lúc này mình chỉ việc viết report nhanh chóng và submit hai lỗi cùng lúc.

image.png

Thành quả

Sau gần 1 ngày chờ đợi thì lỗi được pending và triage báo vendor đang check sẽ báo lại sớm nhất có thể, Sau đó, thêm gần 5 ngày chờ đợi nữa thì mình đã có thành quả xứng đáng

image.png image.png


Tổng kết

Hành trình săn bug lần này tuy ngắn, nhưng khá nhiều may mắn và mang lại nhiều niềm vui. Chỉ với một chút thử nghiệm đơn giản và nhạy bén trong việc scale lỗi, mình đã kiếm được hai lỗi XSS được accept trên Intigriti. Hy vọng chia sẻ của mình sẽ giúp ích cho mọi người trong quá trình săn bug!

image.png

Try hard top 100

Bình luận

Bài viết tương tự

- vừa được xem lúc

[Write up] BugBountyHunter khai thác XSS (phần 1)

Giới thiệu chung. BugBountyHunter là 1 trang ứng dụng web miễn phí cho phép ta tìm hiểu về các lỗ hổng bảo mật dựa trên các phát hiện thực tế được phát hiện trên các chương trình BugBoungty.

0 0 53

- vừa được xem lúc

[Write up] BugBountyHunter khai thác (phần 2)

Giới thiệu chung. Để tiếp tục series về BugBountyHunter.

0 0 41

- vừa được xem lúc

9 hacker Việt Nam được Facebook vinh danh 2021

Xin chào các bạn,. Cùng nhau điểm danh những gương mặt được Facebook vinh danh trên bảng xếp hạng năm 2021 những hacker Việt Nam đã có đóng góp các lỗ hổng bảo mật cho Facebook nhé.

0 0 103

- vừa được xem lúc

Bug bảo mật và góc nhìn từ nhiều phía

Sumary. Trong bài viết này, mình sẽ chia sẻ về một lỗ hổng thú vị "Đổi Mật Khẩu Không Cần Xác Thực Mật Khẩu Cũ," dẫn đến nguy cơ chiếm đoạt tài khoản và khóa trái phép người dùng.

0 0 1

- vừa được xem lúc

Mình lại tìm thấy 1000€ và DUPLICATE nhưng mình là 1 CHILL GUY

Summary. Có bao giờ bạn tìm được một lỗ hổng, cảm thấy như vừa đào trúng mỏ vàng, nhưng cuối cùng lại phải ôm về.

0 0 1

- vừa được xem lúc

Hành trình pass OSCP trong lần thi đầu tiên (2020)

Vào một chiều đông 17/12/2020, tôi nhận được cái email thông báo đã pass OSCP ngay lần thử đầu tiên. Sau đó, tôi bắt đầu tìm hiểu về Security và quyết định học cái gì đó cho riêng mình.

0 0 195