微博上点开我发的链接我就可登進你的淘宝支付宝和微博可盗号可挂马(poc中附若干从洞) |
漏洞一、淘宝的二维码扫描登录功能存在劫持漏洞
用户登陆的二维码格式如下:
用户用手机扫描后,会在登录状态下去访问一个请求来给此二维码的值授权然后需要用户点击确认,然后完成授权这时浏览器端的會用授权后的参数去服务端获取登陆凭证,然后来登陆
但是扫描后的用户确认页无意义,因为最终的授权请求格式如下:
这里面的所有參数都是可猜测的未加token保护。攻击者可以把shortUR参数换成他的二维码中的shortUR然后直接欺骗登录用户去点击完成授权
我们可以获取到最终的登陸凭证格式如下:
经测试发现,不管是用户登陆的是web版还是移动端淘宝都可对此请求完成授权
就是说,只要用户在登陆状态下不管是電脑还是移动端,只要点了我的链接我就能用它的身份登陆淘宝了
漏洞二、互联网的便捷扩大了危害
很多人的淘宝是未登陆状态的,而苴我没法直接对话那么多登陆了淘宝的用户所以看起来只能搞搞熟人或是买家卖家
怎样和跟多的淘宝用户互动呢?我扶了扶镜框发现微博上很多用户都绑定了淘宝账号。而且即使你没登陆淘宝,微博的某些功能可以帮你自动登陆淘宝
如果你绑定了淘宝你在微博或客戶端微博上访问
浏览器会帮你自动登陆淘宝,所以思路就有了让用户先自动登陆淘宝,再去访问我们的攻击请求
但由于此请求不让被iframe所以我只能通过/webww/?
当然,你看它的漏洞原理的话它还可以是一个反射的xss,浏览器的xssfilter对它无效
漏洞出在js的跳转里未对跳转目标进行校验
会發现,除了同城的一些用户大部分用户的访问都被识别成异常登陆了,会弹出个短信或者动态口令认证
通过改IP等方式可以偶尔绕过一些,但成功率不高
怎么才能完美绕过呢我扶了扶镜框,发现了一个方法
在阿里旺旺里也有个内嵌页面的自动登陆,格式如下:
两天没上淘宝 刚才上去一看 多了3筆订单 手机订单 话费充值的 不过都交易关闭了
看了下单时间 9号晚上 后面两个订单下单时间相隔3秒 各位表哥 这是什么情况 虽然没有损失 但是鬧心啊 除了修改登录密码 还有什么要注意的吗 |
万豪礼赏白金卡尊贵会员
SPG白金会籍优先顾客
收藏是肯定,送花是美意打赏是鼓励!
|