某里巴巴存在任意URL跳转漏洞(提交被驳回故公开)技术交流

2018-11-12 21:39:25 137 6484 13


某天看到一篇文章,pdf支持JavaScript脚本灵光一闪,如果把xss代码加到pdf文件中会怎么样
经过测试,构造了一些可行的poc文档,眼看双十一快到了,顺便测试下某里巴巴

经测试:某里巴巴SRC上传图片处可以pdf文件



获取到pdf文件链接
https://security.alibaba.com/api ... XXcS.pXa.tfsprivate
里面有我的poc代码,在谷歌浏览器或者谷歌内核的浏览器下打开,就会跳转到第三方网站(下个迅捷pdf编辑器,poc自己找)

ASRC任意URL跳转有了

尝试XSS,在某宝论坛,发帖,源码模式下插入poc

POC:
<embed src="https://security.alibaba.com/api/commons/download/TB1HuUWXyzxK1RjSspjXXcS.pXa.tfsprivate">
发帖,预览,成功触发任意URL跳转
地址:https://maijia.bbs.taobao.com/detail.html?postId=8969034
纯文本模式给钉钉邮箱,阿里企业邮箱发送包含POC的内容,用户在谷歌内核浏览器下打开就会触发URL跳转

如果跳转的网站是个钓鱼网站,那岂不是危害很大,或者说,淘宝论坛流量那么大,劫持一篇热帖岂不是可以做广告?

赶紧提交给ASRC,经过漫长的等待,得到消息,厂商已驳回

截图下沟通记录




原本还打算30天后在公开的,发现后面提交的相关漏洞都被忽略了,很明显ASRC平台不认为这是漏洞,不打算修复,既然如此,公开姿势给大家吧

修复方案:
而作为网站管理员或开发者,可以选择强迫浏览器下载 PDF 文件,而不是提供在线浏览等,或修改 Web 服务器配置的 header 和相关属性。

统一回复下,该问题已经提交到谷歌安全中心。另外,我为什么要追着阿里修复,不是为了那几块钱的赏金,而是为了广大的阿里用户,我不希望某天我身边的朋友或者不认识的朋友被钓鱼,被骗的倾家荡产!人生失去希望,(以前身边有过一位这朋友,支付宝被盗...然后...吃了一个月馒头?)谷歌什么时候修复是谷歌的事情,迭代下去搞到明年修复,大后年修复都是有可能的,况且版本这么多,不更新版本的人更多。

阿里修改下配置文件就能避免被钓鱼,说这么多有点肉麻了,还是那句话,希望各大厂商能为自己用户的安全负责。想想自己为什么要提交漏洞,不忘初心,方得始终。

发布下最新情况,ASRC以及确认了漏洞,状态修复中,有朋友反映淘宝论坛的漏洞已经修复,如果大家又发现利用该漏洞钓鱼的,请及时提交情报到ASRC应急响应中心!阿里将会有相应的奖励!

关于作者

评论137次

要评论?请先  登录  或  注册
  • TOP1
    2018-11-13 14:21

    发布下最新情况,ASRC以及确认了漏洞,状态修复中,希望早日修复,如果大家又发现利用该漏洞钓鱼的,请及时提交情报到ASRC应急响应中心!阿里将会有相应的奖励!麻烦管理员提升下回复到前排,谢谢。

  • TOP2
    2018-11-12 22:28

    厂商也不知道在想啥最后还不是我们用户遭殃

  • TOP3
    2018-11-14 11:25

    不管是不是阿里 这些大公司都一样谁开发的代码谁负责 谁改的代码谁负责应急响应慢1秒扣1000员工是不会在乎公司以及客户利益的漏洞挖过份进监狱 漏洞挖小当没看见 如果当作是兴趣不是工作的话 最好别发出来众人皆知 在中国和公司对抗很不明智存在即合理,这种类型的漏洞公司自查才能合理修补提交是没用的要么就滚雪球打组合拳,不然不会得到重视的要么学会保护自己要么一刀致命不留后患,证明自己不是靠别人的眼光决定自己创造的价值

  • TOP4
    2018-11-13 10:35

    厂商意思是, 牛逼你就干进来

  • TOP5
    2018-11-12 22:10

    楼主讲解下原理啊

  • 137楼
    2018-11-27 10:35

    有的人说公布不好,我觉得挺好啊,既然厂商不认为是漏洞那么发出来有什么问题,既然厂商不愿意让发出来那说明问题有影响啊,这不是解决了吗?自己不发声还语重心长的建议别人也不要发声,告诉他人这是社会规则,人生道理的什么心态。

  • 136楼
    2018-11-18 22:21

    很赞的思路,学到了

  • 135楼
    2018-11-18 21:55

    谷歌那边呢

  • 134楼
    2018-11-17 11:32

    刚看到URI这个名词,学到啦学到啦

  • 133楼
    2018-11-17 09:10

    之前也有类似想法,这么快就实现了

  • 132楼
    2018-11-16 09:32

    赞同白帽子说的,你们损失还是谷歌损失

  • 131楼
    2018-11-16 08:28

    如果阿里不认为是漏洞,这么公布,有没有法律责任呢?

  • 130楼
    2018-11-15 22:45

    从URL任意跳转,扩展到XSS,学到了思路。

  • 129楼
    2018-11-15 22:44

    那些年的某云厂商也是 出了事才找人。

  • 128楼
    2018-11-14 23:15
    anlfi

    不管是不是阿里 这些大公司都一样谁开发的代码谁负责 谁改的代码谁负责应急响应慢1秒扣1000员工是不会在乎公司以及客户利益的漏洞挖过份进监狱 漏洞挖小当没看见 如果当作是兴趣不是工作的话 最好别发出来众人皆知 在中国和公司对抗很不明智存在即合理,这种类型的漏洞公司自查才能合理修补提交是没用的要么就滚雪球打组合拳,不然不会得到重视的要么学会保护自己要么一刀致命不留后患,证明自己不是靠别人的眼光决定自己创造的价值

    1

    支持小姐姐的说法 至于滚雪球打组合拳,从风险角度来讲,不如作为技术研究自己留着来的实在点~

  • 127楼
    2018-11-14 19:06

    SRC不管报谷歌,支持

  • 126楼
    2018-11-14 18:55
    anlfi

    不管是不是阿里 这些大公司都一样谁开发的代码谁负责 谁改的代码谁负责应急响应慢1秒扣1000员工是不会在乎公司以及客户利益的漏洞挖过份进监狱 漏洞挖小当没看见 如果当作是兴趣不是工作的话 最好别发出来众人皆知 在中国和公司对抗很不明智存在即合理,这种类型的漏洞公司自查才能合理修补提交是没用的要么就滚雪球打组合拳,不然不会得到重视的要么学会保护自己要么一刀致命不留后患,证明自己不是靠别人的眼光决定自己创造的价值

    1

    社会有时候需要站出来几个人,进步的充分条件

  • 125楼
    2018-11-14 17:15
    bjdev

    发布下最新情况,ASRC以及确认了漏洞,状态修复中,希望早日修复,如果大家又发现利用该漏洞钓鱼的,请及时提交情报到ASRC应急响应中心!阿里将会有相应的奖励!麻烦管理员提升下回复到前排,谢谢。

    1

    反应慢半拍。。。都公开了。。 厂商的意思是你nB 你就进来?

  • 124楼
    2018-11-14 17:03

    这个用来钓鱼确实杀伤力不小,思路学习了

  • 123楼
    2018-11-14 16:53

    又学习到了一波

  • 122楼
    2018-11-14 16:47

    最终结果还是很好的~

  • 121楼
    2018-11-14 11:25

    不管是不是阿里 这些大公司都一样谁开发的代码谁负责 谁改的代码谁负责应急响应慢1秒扣1000员工是不会在乎公司以及客户利益的漏洞挖过份进监狱 漏洞挖小当没看见 如果当作是兴趣不是工作的话 最好别发出来众人皆知 在中国和公司对抗很不明智存在即合理,这种类型的漏洞公司自查才能合理修补提交是没用的要么就滚雪球打组合拳,不然不会得到重视的要么学会保护自己要么一刀致命不留后患,证明自己不是靠别人的眼光决定自己创造的价值

  • 120楼
    2018-11-14 09:17

    说实在的,有时候跟漏洞审核人员正面刚还真刚不过,决定权在他们手里,而且他们还觉得自己巨牛B

  • 119楼
    2018-11-14 01:13

    支持楼主,如果能获取cookie的话可以加载远程图片,图片解析参数从而达到获取cookie的效果!还有很想知道楼主怎么做到让SRC又处理这个的...锅的话确实不完全是SRC的,但这个SRC审核员的态度太特么惹人厌了。

  • 118楼
    2018-11-14 00:04

    这个思路牛逼啊,看来现在大家都穷途末路了,看见xss都眼睛一亮,比代码执行还激动。