看我如何发现雅虎邮箱APP的存储型XSS漏洞

本日我要分享的是介入雅虎(Yahoo!)破绽众测项目发明的一个关于雅虎邮箱 iOS利用的破绽,终极,凭借该破绽,我进入了雅虎安然名人堂并得到了$3500美金奖励。

破绽环境

我测试的工具是 Yahoo! Mail iOS APP利用,也便是雅虎邮箱的iOS版本,在该APP利用法度榜样的xml文件中存在一个存储型XSS破绽。进击者可以使用XML特点构造随意率性HTML/Javascript代码嵌入邮件,在该APP用户打开邮件时,都可以实现这种随意率性代码衬着出现,极度点来说,使用XML的实体扩展进击,可以形成DoS进击,造成APP办事崩溃。

XML实体扩展进击:XML Entity Expansion实现,经由过程在XML的DOCTYPE中创建自定义实体的定义实现,比如,这种定义可以在内存中天生一个比XML的原始容许大年夜小大年夜出很多的XML布局,用它来使这种进击得以耗尽收集办事器正常有效运行的必需内存资本。

破绽阐发

破绽初报

在随意率性的雅虎邮箱登录网页或客户端中登录进入你的雅虎邮箱,然后上传以下样式的一个xml文件作为邮件附件,之后,把这封带以下 yahoo-xss.xml 附件的邮件,发送到你自己的雅虎邮箱或另一雅虎测试邮箱中去。

svg xmlns=”http://www.w3.org/2000/svg”>

script>prompt(document.location)script>

svg>

用雅虎邮箱iOS客户端(Yahoo! Mail iOS APP),进入你的收件测试雅虎邮箱,查看 yahoo-xss.xml 附件,打开它,看看是否有XSS反映。结果是当然有的,会吓了你一跳。如下:

留意:我也搞不懂啥缘故原由,雅虎邮箱iOS利用中的XML衬着机制异常怪异危险。假如你收到包孕以上yahoo-xss.xml 附件的多个附件,那么,纵然你打开其它附件的时刻,这个 yahoo-xss.xml 触发的存储型XSS都邑解析跳出。

我促忙忙地上报了这个破绽,以下是雅虎安然团队职员在HackerOne上给我的回应:

到了这步,接下来我要做的便是设法主见子来最大年夜化使用这个破绽,看看能对雅虎邮箱iOS利用形成什么对照坏的安然要挟和影响。但无奈我一时半会也没什么头绪,只好先放一放。

破绽续报

后来有一天,我忽然想到了一种提升破绽使用且安然无害的措施,那便是我可以用HTTP哀求,像“GET”要领一样,考试测验对本地APP客户端资本进行获取!BingGo!我一试,真成了!我可以用这种措施获取到雅虎邮箱iOS利用的全部缓存数据,此中包括用户cookie、通讯录列表、邮件内容等等。

破绽使用复现

首先,在随意率性雅虎邮箱网页或客户端中登录你的雅虎邮箱账户,上传一个如下包孕如下代码的XML文件,然后,把它作为附件发送到你的别的一个测试雅虎邮箱中(受害者邮箱)。

在你的雅虎测试邮箱中打开这个收到的XML附件,基于上面我提到的那个“怪异”的XML解析缘故原由,这里可以想像一种环境:当进击者向你发送了一个PPT文档,但在附件中也附加了以上那个可以触发XSS的XML文件,那么,当你打开收到的PPT文档时,这个XML文件也就会同时触发XSS反映。也便是说,无论你有若干个附件(包括视频附件),只要包孕以上那个XML附件,你打开其它任何一个附件,都邑稀罕地触发XML文件中XSS破绽。

使用该破绽,构造key.xml,我可以获取受害者邮箱中包括发送者、接管者和联系人在内的通讯录信息。在XML附件代码中,XSS破绽会首先显示客户真个浏览器版本信息,然后是定位文件位置,再之后是获取邮件列表信息(这里看网速,预计必要30秒阁下的光阴)。之后,点击key.xml的OK之后,邮件列表信息就经由过程GET要领回传给进击者了,像下图这样。我是在内部局域网中做的测试,我的Server接管端用nc -lvvv 8090开启了8090端口监听:

[1] [2]下一页

使用该破绽,构造cachedbpost.xml,我可以获取受害者的Cookie信息。点击cachedbpost.xml的OK之后,全部Cache.db文件就会经由过程POST要领回传给进击者,如下图所示。我在内部局域网中做的测试,我的Server接管端用nnc -lvvv 8090 > yahoo.db敕令开启了8090端口监听,并把Cache.dbd存储为yahoo.db:

收到完备的Cache.db文件之后,我们把此中的标题头内容过滤,用以下敕令检索形成完备的受害者cookie信息:

strings yahoo.db | grep -i Cookie -A 10 -B 5

别的,还可以按http办事端来进行罗列,形成对特定网站的哀求cookie:

strings yahoo.db | grep -i https

雅虎安然团队事情职员接管到该破绽后,迅速进行了分类、修复和处置。

破绽影响

任何进击者可以使用该破绽,构造特定的XML文件发送给任何用户,进而获取到受害者用户邮箱中包括发送者、接管者、Cookie和联系人在内的敏感信息。

我的测试情况:

iPhone 6 – iOS v11.2.5.

受影响iOS客户端版本:

Yahoo! Mail app v4.XX.X (XXXXX)

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包