【11.18总结】从SAML出发在重定向中发现的XSS漏洞
./dirsearch.py -u https://carbon-prototype.uberinternal.com:443/oidauth/ -ejson
然后
https://carbon-prototype.uberinternal.com:443/oidauth/logout
这个页面吸引了作者的注意力,因为logout功能通常会伴随着一个重定向,而这个过程中可能存在XSS漏洞。
打开上面的页面,会被重定向到
https://carbon-prototype.uberinternal.com/oidauth/prompt?base=https%3A%2F%2Fcarbon-prototype.uberinternal.com%3A443%2Foidauth&return_to=%2F%3Fopenid_c%3D1542156766.5%2FSnNQg%3D%3D&splash_disabled=1注意里面的base参数,是一个URL,当作者把它修改为javascript:alert(123);后,成功实现了反射型的XSS。
最后作者通过脚本,找到所有接收SAML响应的网址,然后请求该域名下的oidauth/prompt目录,看是否存在该反射型XSS漏洞
1. 对一个新的应用进行测试时,可以看是否存在在其他应用中已经发现的漏洞
2. 为什么会想到目录扫描:在请求包的数据中发现一个oidauth/目录
3. logout功能可能存在XSS漏洞,值得进一步测试
