作者在最近参与的一些漏洞众测项目中，着重关注了跨站搜索攻击漏洞（Cross-Site Search Attacks），也可称之为XS-Search，最终发现了谷歌图书服务 -  books.google.com存在的跨站搜索攻击漏洞，获得了谷歌奖励的$1337美金。 漏洞发现 发现该漏洞的灵感起源于35c3CTF比赛中一道针对搭建环境的Filemanager类型题目，其中提到，利用 Chromium XSS Auditor 和XS-Search攻击，可以提取获得目标用户的阅读记录和个人藏书列表。 在检查Google Books的网站页面时（https://books.google.com/），我发现了其源码存在一些有意思的差异变化，其中一个就是，当图书搜索查询导致了至少只有一本书的搜索结果时，其会在页面源码中添加一段特定的JavaScript脚本代码，该代码从以下部份开始： <script>if (window['_OC_registerHover']){_OC_registerHover({"title":"<title>" 其中<title>为搜索结果中显示在第一的书名名称。所以，如果给定一个书名名称<title>和用户ID <uid>，那么就可以创建出以下访问链接: https://books.google.com/books?uid=<uid>&num=1&q=<title>&x=<script>if (window['_OC_registerHover']){_OC_registerHover({"title":"<title>" 然而，这个链接最终是会被谷歌XSS Auditor给拦截了，因为即使uid=<uid>&num=1&q=<title>是合法的，但是x=<script>if (window['_OC_registerHover']){_OC_registerHover({“title”:”<title>”却会被当成XSS参数被过滤。 另外一点值得关注的是，当XSS Auditor对上述链接进行拦截时，其window.length的值就相当于0了，也就是说其中没有书目元素iframe。但由于谷歌会使用frame元素对书目进行存储分类，所以实际的frame元素值肯定是大于0的，因此，存在这种可能，那就是可以通过跨站方式来读取window.length属性来查看其中的frame元素值。当然，也可利用XS-Leaks Github中的error page 方法来探测出我们所需要的frame值。 基于以上分析来说，这种攻击中必须知道受害者用户的<uid> ，所以其攻击面就相对变窄了。为此，还需要深入测试<uid>相关参数，看看其是否能有更加直接的利用方法，我们一起来观察以下Google Books的跳转测试，请认真查看其中的uid值： https://books.google.com/books?uid=vulnerability - 跳转到Google Books自身； https://books.google.com/books?uid=%2B - 跳转到https://books.google.com/books?uid=<uid>&hl=en； https://books.google.com/books?uid=%2B1 - 服务端抛出404响应； https://books.google.com/books?uid=1%2B1 - 跳转到https://books.google.com/books?uid=<uid>&hl=en； https://books.google.com/books?uid='&q=hack - 跳转到https://www.google.com/search?tbo=p&tbm=bks&q=hack； https://books.google.com/books?uid=vulnerability&q=hack - 以登录用户身份显示搜索结果。 上述一系列的跳转有些奇怪，但是综合最后两条重定向跳转，我们可以构造出一种XS-Search攻击，这种攻击中无需知道受害者用户的<uid>，就能以其身份显示出搜索结果。 攻击场景 恶意攻击者可利用上述方法构造出这种攻击场景： 当Google Books的普通用户访问了某个攻击者控制的恶意网站时，其中发生的任何交互行为，可能会在恶意网站后台触发窗口打开，通过控制cross-origin属性，可以非常容易地利用上述存在的漏洞获得受害者的Google Books相关敏感个人信息。这些信息包括用户搜索过的书目名称、个人收藏书单、购买书单和阅读过的书籍记录。 漏洞复现 作者创建了一个PoC页面 – https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/poc.html 来复现上述XS-search攻击漏洞，在此之前，需要有以下操作前提： 1、开启了XSS-Auditor的Chromium浏览器； 2、创建两个名为s1和s2的书架，记住它们的<id>号，后续可在URL中用as_coll=<id>对它们进行访问； 3、从链接 https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/urls.html中选择一本书放入书架s1； 4、从链接 https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/urls.html中选择5本书放入书架s2； 5、访问PoC页面 – https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/poc.html，点击其中的“Click here to start the Poc”， 6、按其中的要求进行选择性填空； 7、等待查询响应结果。 针对我的上述漏洞报告，谷歌通过了一系列综合防护措施来进行了安全改进，以防止XS-Search攻击。谷歌也强调，如果此类漏洞不能对其防护机制造成实质性影响，之后不会再接收类似的XS-Search漏洞，会统一当成重复报。 漏洞上报进程 2019.1.27  漏洞初报 2019.1.28  漏洞分类 2019.1.30  漏洞被承认 2019.2.5   谷歌奖励$500 2019.3.5   漏洞修复 2019.3.19  谷歌继续奖励$837，总共$1337

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。 今天分享的这篇Writeup是作者在HackerOne上某个邀请测试项目的发现，目标网站存在不安全的访问控制措施，可以利用其导致的敏感信息泄露(auth_token) +密码重置限制绕过，以越权（IDOR）方式，实现网站任意账户劫持（Takeover）。整个测试过程是一次最基本的IDOR和密码限制绕过操作，一起来看看。 获得账户auth_token 目标网站是一个工作招聘门户网站，测试保密原因暂且称其为redacted.com。一开始，我登录以应聘者身份去测试CSRF或某些存储型XSS，但没什么发现。接下来，我就想到了越权测试（IDOR），为此，我又创建了另外一个账号，两个账号一起可以测试如注册、登录、忘记密码等功能点的越权可能。 创建账号前我开启了流量抓包想看看具体服务端的响应，注册开始时，网站会跳出一个提示，输入注册邮箱检查是否是注册用户。在这里，我随便输入了一个未注册过的邮箱，服务端竟然有了异常响应，如下： 其中包含了auth_token的信息： “redirect_url”:“/?auth_token=_v2_8dsf8as df12ad4f5a4sdf56as1df65asdf56sd4ff&contact_id=11cb26ae&e xpire=1152315525” 账户劫持（Account Takeover） 哦，这就有点意思了，于是，我把这个邮箱更改为我另一个与注册账号对应的邮箱： 就这样！也就是说，通过“/candidate/create”这个路径我就能获取网站注册用户的auth_token信息了。现在我只需要一个利用它的点就行，接着，我在 burpsuite的代理历史中查看有哪些请求用到了auth_token，哦，很简单，就是这个： https://redacted.com/?auth_token=d8fs4ds8fdsf84dsf8dsfads8fasd6f84dsf684dsafccv68f4&contact_id=52z1d5d4&expire=1152315525 我开启了浏览器隐身模式访问了上述链接，BOOM，就这么简单地登录到了受害者账户（另一测试账户）中去了，完美的账户劫持。但当我查看受害者账户中的个人资料想更改密码或注册邮箱时，却无法看到个人资料信息，而且跳出来一个密码确认输入框（仔细观察，其中包含Forgot Password忘记密码功能）： 该死，如何来绕过它呢？ 绕过密码确认限制 先来一种猜想：要是我把受害都注册邮箱更改为我自己的邮箱，然后利用忘记密码功能发送密码更改请求，那我的邮箱会不会收到密码重置链接呢？来试试看。 于是，我在我自己的测试账户中找到了注册邮箱更改路径为 ‘/api/profile’，该路径下，通过类似{“email_address”:“attackers@gmail.com”}`的JSON格式PATCH请求，就能实现注册邮箱更改。 接下来，我在受害者账户登录cookie下，以这种方式在“https://redacted.com/api/profile”下，发送了JSON格式的PATCH请求-‘{“email_address”:“mynewmail@gmail.com”}’ ： 、 响应成功显示请求有效，那么之后，我只需登录受害者账户环境，点击个人资料查看，在跳出的密码确认框那点击忘记密码（Forgot Password），那么我自己的邮箱就能收到服务端发来的一封密码重置链接邮件了。 漏洞上报后，厂商在四天之内做了修复，最终我也获得了$2,500美金的奖励。但后来，我又发现目标网站还存在一个类似上述可通过更改邮箱绕过密码确认的路径“/contact/api/update/v1”，上报之后，我又获得了厂商$150美金奖励。

2018年9月1日，阿里云态势感知发布预警，近日利用ECShop全系列版本的远程代码执行漏洞进行批量化攻击量呈上升趋势，该漏洞可直接导致网站服务器沦陷，黑客可通过WEB攻击直接获得服务器权限，利用简单且危害较大。因此，阿里云安全专家提醒ECShop系统用户及时进行修复。 —— ECShop全系列版本远程代码执行高危漏洞分析 漏洞分析： 预警| ECShop全系列版本远程代码执行高危漏洞 阿里云WAF已可防御 ECShop <= 2.7.x 全系列版本远程代码执行高危漏洞利用   在线实验地址： 打开 VULNSPY ECSHOP 实验环境   漏洞利用 1. 点击右上方 START TO HACK 按钮创建 ECShop实验环境 2. 创建完成后打开 ECSHOP 实验地址 3. 发送 Payload 执行 phpinfo(); 将**.vsplate.me换成您的实验地址* 在终端中执行： curl http://***.vsplate.me/user.php -d 'action=login&vulnspy=phpinfo();exit;' -H 'Referer: 554fcae493e564ee0d 参考 预警| ECShop全系列版本远程代码执行高危漏洞 阿里云WAF已可防御 ECShop <= 2.7.x 全系列版本远程代码执行高危漏洞利用