#翻译文章 原文:
https://hackerone.com/reports/1095934
当发送消息给其他人时,“主题”必须填写,这个字段存在Angular
Injection,从而导致存在储存XSS。可以将消息发给任意的人员执行XSS,其中包括技术支持人员。
使用的payload为{{constructor.constructor('alert(1)')()}}
复现步骤:
第一步:
登录到您的账户,然后点击Message Kinkster。
第二步:
将Payload: {{constructor.constructor('alert(1)')()}}填写到主题处,并在再description中随便输入点其他。
第三步:
点击Start Conversation并通过其他测试账户收件箱查看该消息。
第四步:
点击该消息,XSS就会被执行。
证明
影响:
如果用户执行恶意内容,则攻击者可能能够使用该用户执行特权操作或获得对属于该用户的敏感数据的访问权,例如窃取该用户的Cookie等。
时间线:
2021年2月5日 向FetLife提交 了报告。
2021年2月5日 FetLife验证漏洞。
2021年2月5日 FetLife发放赏金$500。
2021年3月8日 公开此漏洞报告
译者按:
当发现网站使用前端框架时,如果传统的xss不好使,可以尝试使用框架自己特有语句来执行js。这种由很有可能没有过滤,造成xss。但是感觉作者还是利用轻了,像这种类型的xss,是不是可以考虑用js获取好友列表,自动发送,搞个蠕虫试一试。
本文迁移自知识星球“火线Zone”
