近日，安全研究专家对外表示，如果你的Windows电脑开启了锁屏启动微软Cortana数字助手的话，那你可能就危险了。如果你开启了这样的配置，意味着攻击者将能够窃取你存储在浏览器缓存中的用户凭证 Cortana被曝存在安全缺陷 实际上，Windows系统会默认开启锁屏状态下调用Cortana数字助手的功能，用户无需解锁即可向Cortana提问，而Cortana也会通过语音或文字等形式回答你的问题，即使这名用户没有进行身份验证。在这种状态下，Cortana主要依赖于Edge浏览器或个别版本的IE 11浏览器来实现这种问答功能。 而来自McAfee的研究人员近日发表报告称，如果攻击者能够物理访问到目标设备的话，攻击者将能够利用这种存在安全缺陷的功能来窃取用户存储在浏览器缓存中的数据。通过向Cortana提问恰当的问题，攻击者就可以在不解锁屏幕的情况下让Cortana直接访问一个由攻击者控制的域名地址，由于该域名地址所指向的资源内容是攻击者控制的，所以他们就可以直接在目标用户的浏览器中运行恶意JavaScript脚本了。 注：McAfee的研究人员也已经在这篇研究报告中提到了攻击者如何利用Cortana获取目标用户的数据、运行恶意代码，甚至是修改锁定PC的密码，感兴趣的用户可以深入阅读了解详情。 值得一提的是，Cortana可以根据用户具体提出的问题和提问的方式来给出更加详细的回应，甚至可以直接返回互联网中的某条资源。比如说，如果你想查询某个官方网站的话，Cortana将会直接返回维基百科里的条目。 攻击方式 研究人员表示，他们还可以利用这种特性来伪造维基百科条目，添加足够多的内容来保证词条可以通过审核，然后增加额外的官网链接。虽然这种想法确实可行，但是攻击者其实并不会这样去下赌注，因为维基百科上的内容会有专人定期审查。除此之外，在Cortana能够检索到预期的答案之前，攻击者还需要等待Bing搜索引擎对该页面进行索引。 另一种方法是识别维基百科官方网站上已过期或未维护的死链，然后购买这些链接地址。这是一种比较隐蔽的方法，因为这些地址已经通过了审核，而且无需等待搜索引擎收录。 McAfee的研究人员在报告中指出，在维基百科网站上的这些死链中有很多都是仍被注册的，但是却没有托管任何资源或内容。其实这些链接都是可用的，只不过被添加上了“死链“的标记而已。 当攻击者购买到了这些所谓的“死链“之后，他们会在这些链接所指向的站点注入恶意代码，当Cortana”点击“了这些链接之后，Edge浏览器会自动从这些地址接收内容，而此时攻击者根本无需解锁屏幕即可实现对Windows 10设备的感染和入侵。 虽然这种方法确实可行，但在公开场合跟一台电脑对话还是会引起他人的注意。因此，还有人设计出了一种基于超声波来向语音助理软件发送命令的技术，而这种技术只需要一台价值3美元的设备就可以实现了。这种攻击方法被称为“海豚攻击“（Dolphin Attack），它可以对Amazon、苹果、Google、华为和三星的语音识别产品进行攻击。 利用Cortana窃取用户凭证 通过语音关键词触发了Cortana功能之后，攻击者甚至可以直接访问到目标用户的社交媒体账号。McAfee的研究人员表示，很多旧版本的IE 11浏览器都启用了JavaScript和Cookie，而这些内容是可以在Cortana访问了特定站点后直接被加载和调用的。 后话 但是这种攻击技术需要攻击者物理接近目标设备，因此这种技术不太有可能成为一种被广泛使用的技术，不过在怎么说这也是一种安全缺陷。McAfee建议广大用户在锁屏界面上禁用Cortana，以保护自己免受这种类型的攻击。 

作者在最近参与的一些漏洞众测项目中，着重关注了跨站搜索攻击漏洞（Cross-Site Search Attacks），也可称之为XS-Search，最终发现了谷歌图书服务 -  books.google.com存在的跨站搜索攻击漏洞，获得了谷歌奖励的$1337美金。 漏洞发现 发现该漏洞的灵感起源于35c3CTF比赛中一道针对搭建环境的Filemanager类型题目，其中提到，利用 Chromium XSS Auditor 和XS-Search攻击，可以提取获得目标用户的阅读记录和个人藏书列表。 在检查Google Books的网站页面时（https://books.google.com/），我发现了其源码存在一些有意思的差异变化，其中一个就是，当图书搜索查询导致了至少只有一本书的搜索结果时，其会在页面源码中添加一段特定的JavaScript脚本代码，该代码从以下部份开始： <script>if (window['_OC_registerHover']){_OC_registerHover({"title":"<title>" 其中<title>为搜索结果中显示在第一的书名名称。所以，如果给定一个书名名称<title>和用户ID <uid>，那么就可以创建出以下访问链接: https://books.google.com/books?uid=<uid>&num=1&q=<title>&x=<script>if (window['_OC_registerHover']){_OC_registerHover({"title":"<title>" 然而，这个链接最终是会被谷歌XSS Auditor给拦截了，因为即使uid=<uid>&num=1&q=<title>是合法的，但是x=<script>if (window['_OC_registerHover']){_OC_registerHover({“title”:”<title>”却会被当成XSS参数被过滤。 另外一点值得关注的是，当XSS Auditor对上述链接进行拦截时，其window.length的值就相当于0了，也就是说其中没有书目元素iframe。但由于谷歌会使用frame元素对书目进行存储分类，所以实际的frame元素值肯定是大于0的，因此，存在这种可能，那就是可以通过跨站方式来读取window.length属性来查看其中的frame元素值。当然，也可利用XS-Leaks Github中的error page 方法来探测出我们所需要的frame值。 基于以上分析来说，这种攻击中必须知道受害者用户的<uid> ，所以其攻击面就相对变窄了。为此，还需要深入测试<uid>相关参数，看看其是否能有更加直接的利用方法，我们一起来观察以下Google Books的跳转测试，请认真查看其中的uid值： https://books.google.com/books?uid=vulnerability - 跳转到Google Books自身； https://books.google.com/books?uid=%2B - 跳转到https://books.google.com/books?uid=<uid>&hl=en； https://books.google.com/books?uid=%2B1 - 服务端抛出404响应； https://books.google.com/books?uid=1%2B1 - 跳转到https://books.google.com/books?uid=<uid>&hl=en； https://books.google.com/books?uid='&q=hack - 跳转到https://www.google.com/search?tbo=p&tbm=bks&q=hack； https://books.google.com/books?uid=vulnerability&q=hack - 以登录用户身份显示搜索结果。 上述一系列的跳转有些奇怪，但是综合最后两条重定向跳转，我们可以构造出一种XS-Search攻击，这种攻击中无需知道受害者用户的<uid>，就能以其身份显示出搜索结果。 攻击场景 恶意攻击者可利用上述方法构造出这种攻击场景： 当Google Books的普通用户访问了某个攻击者控制的恶意网站时，其中发生的任何交互行为，可能会在恶意网站后台触发窗口打开，通过控制cross-origin属性，可以非常容易地利用上述存在的漏洞获得受害者的Google Books相关敏感个人信息。这些信息包括用户搜索过的书目名称、个人收藏书单、购买书单和阅读过的书籍记录。 漏洞复现 作者创建了一个PoC页面 – https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/poc.html 来复现上述XS-search攻击漏洞，在此之前，需要有以下操作前提： 1、开启了XSS-Auditor的Chromium浏览器； 2、创建两个名为s1和s2的书架，记住它们的<id>号，后续可在URL中用as_coll=<id>对它们进行访问； 3、从链接 https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/urls.html中选择一本书放入书架s1； 4、从链接 https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/urls.html中选择5本书放入书架s2； 5、访问PoC页面 – https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/poc.html，点击其中的“Click here to start the Poc”， 6、按其中的要求进行选择性填空； 7、等待查询响应结果。 针对我的上述漏洞报告，谷歌通过了一系列综合防护措施来进行了安全改进，以防止XS-Search攻击。谷歌也强调，如果此类漏洞不能对其防护机制造成实质性影响，之后不会再接收类似的XS-Search漏洞，会统一当成重复报。 漏洞上报进程 2019.1.27  漏洞初报 2019.1.28  漏洞分类 2019.1.30  漏洞被承认 2019.2.5   谷歌奖励$500 2019.3.5   漏洞修复 2019.3.19  谷歌继续奖励$837，总共$1337

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。 今天分享的这篇Writeup是作者在HackerOne上某个邀请测试项目的发现，目标网站存在不安全的访问控制措施，可以利用其导致的敏感信息泄露(auth_token) +密码重置限制绕过，以越权（IDOR）方式，实现网站任意账户劫持（Takeover）。整个测试过程是一次最基本的IDOR和密码限制绕过操作，一起来看看。 获得账户auth_token 目标网站是一个工作招聘门户网站，测试保密原因暂且称其为redacted.com。一开始，我登录以应聘者身份去测试CSRF或某些存储型XSS，但没什么发现。接下来，我就想到了越权测试（IDOR），为此，我又创建了另外一个账号，两个账号一起可以测试如注册、登录、忘记密码等功能点的越权可能。 创建账号前我开启了流量抓包想看看具体服务端的响应，注册开始时，网站会跳出一个提示，输入注册邮箱检查是否是注册用户。在这里，我随便输入了一个未注册过的邮箱，服务端竟然有了异常响应，如下： 其中包含了auth_token的信息： “redirect_url”:“/?auth_token=_v2_8dsf8as df12ad4f5a4sdf56as1df65asdf56sd4ff&contact_id=11cb26ae&e xpire=1152315525” 账户劫持（Account Takeover） 哦，这就有点意思了，于是，我把这个邮箱更改为我另一个与注册账号对应的邮箱： 就这样！也就是说，通过“/candidate/create”这个路径我就能获取网站注册用户的auth_token信息了。现在我只需要一个利用它的点就行，接着，我在 burpsuite的代理历史中查看有哪些请求用到了auth_token，哦，很简单，就是这个： https://redacted.com/?auth_token=d8fs4ds8fdsf84dsf8dsfads8fasd6f84dsf684dsafccv68f4&contact_id=52z1d5d4&expire=1152315525 我开启了浏览器隐身模式访问了上述链接，BOOM，就这么简单地登录到了受害者账户（另一测试账户）中去了，完美的账户劫持。但当我查看受害者账户中的个人资料想更改密码或注册邮箱时，却无法看到个人资料信息，而且跳出来一个密码确认输入框（仔细观察，其中包含Forgot Password忘记密码功能）： 该死，如何来绕过它呢？ 绕过密码确认限制 先来一种猜想：要是我把受害都注册邮箱更改为我自己的邮箱，然后利用忘记密码功能发送密码更改请求，那我的邮箱会不会收到密码重置链接呢？来试试看。 于是，我在我自己的测试账户中找到了注册邮箱更改路径为 ‘/api/profile’，该路径下，通过类似{“email_address”:“attackers@gmail.com”}`的JSON格式PATCH请求，就能实现注册邮箱更改。 接下来，我在受害者账户登录cookie下，以这种方式在“https://redacted.com/api/profile”下，发送了JSON格式的PATCH请求-‘{“email_address”:“mynewmail@gmail.com”}’ ： 、 响应成功显示请求有效，那么之后，我只需登录受害者账户环境，点击个人资料查看，在跳出的密码确认框那点击忘记密码（Forgot Password），那么我自己的邮箱就能收到服务端发来的一封密码重置链接邮件了。 漏洞上报后，厂商在四天之内做了修复，最终我也获得了$2,500美金的奖励。但后来，我又发现目标网站还存在一个类似上述可通过更改邮箱绕过密码确认的路径“/contact/api/update/v1”，上报之后，我又获得了厂商$150美金奖励。