BUG赏金 | 将开放重定向与反射型XSS串联

图片来源于网络

在一个星期日的早晨，醒来后我像往常一样拿起手机并登录我的Facebook帐户，在滚动新闻提要时，我遇到了这个 showmax 的 facebook广告 （showmax 是一个在线电影网站，就像 NetFlix 一样）。

然后我点击广告并访问该网站。 根据我的原则，每当我访问新网站时，我要做的第一件事就是通过搜索 " hackerone " 或 " bug bounty" 等关键字来检查该网站是否正在运营 Bug Bounty 项目。 我在这里使用了相同的方法，发现 showmax 正在 hackerone 上运营 Bug Bounty 项目。

最有趣的部分是，该项目（showmax）约有6个月没有解决任何报告，这是发现一些 bug 的好机会。

我启动了 Burp Suite 并再次访问该站点，然后浏览该站点，打开出现在屏幕上的任何链接。

单击"试用 14 天"后，将我带到注册页面，然后将我重定向到付款页面。 坦率地说，我没有万事达卡或 Visa 卡（我曾用姐姐的朋友的:P），但是这次他们不在那儿，没有给卡。

然后，我在 Burp Suite 中单击以检查 Burp 的 “历史记录”，滚动后，我从 " secure.showmax.com" 中看到了 Burp History 之一的请求正文中的内容，如下所示：

{payment_url:"https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://payu.co.za......."}

"这是开放重定向！ "，然后我尝试修改重定向的 URL 修改为 google.com，这也生效了。 那么该是时候了为他们写一个简单的报告给 hackerone 处理了。

几小时后他们就确认了。

接下来我想尝试更深入一些，检查我是否能将开放重定向串联上反射型 XSS。 Rodolfo Assis 的这篇 博客(XSS limited input formats) 给了我很大帮助。

之后便是将 URL 从

https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://google.com

修改为如下形式

https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=javascript:%250Aalert(1)

弹窗在浏览器直接触发了！

然后，我将其报告给 hackerone （与我之前开启的报告相同）。

● BUG赏金 | 无效的API授权导致的越权

● BUG赏金 | Unicode与WAF—XSS WAF绕过

● BUG赏金 | 我如何绕过领英的开放重定向保护

翻译自medium.com