重定向與反射型XSS串聯

在一個星期日的早晨，醒來後我像往常同樣拿起手機並登陸個人Facebook賬戶，在滾動新聞提要時，我遇到了這個 showmax 的 facebook廣告 （showmax 是一個在線電影網站，就像 NetFlix 同樣）。

而後我點擊廣告並訪問該網站。根據個人原則，每當我訪問新網站時，我要作的第一件事就是經過搜索 " hackerone <site name>" 或 "<this site name> bug bounty" 等關鍵字來檢查該網站是否正在運營 Bug Bounty 項目。我在這裏使用了相同的方法，發現 showmax 正在 hackerone 上運營 Bug Bounty 項目。

最有趣的部分是，showmax約有6個月沒有任何漏洞報告，這是發現 bug 的好機會。
我啓動了 BurpSuite 並再次訪問該站點，而後瀏覽該站點，打開出如今屏幕上的任何連接。

單擊"試用 14 天"後，將我帶到註冊頁面，而後將我重定向到付款頁面。坦率地說，我沒有萬事達卡或 Visa 卡（我曾用姐姐的朋友的），可是此次他們不在那兒，沒有給卡。

而後，我在 BurpSuite 中單擊以檢查 Burp 的 「歷史記錄」，滾動後，我從 " secure.showmax.com" 中看到了 Burp History 之一的請求正文中的內容，以下所示：
{payment_url:"https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://payu.co.za......."}

"這是開放重定向！"，而後我嘗試修改重定向的 URL 修改成 google.com，這也生效了。那麼該是時候了爲他們寫一個簡單的報告給 hackerone 處理了。

幾小時後他們就確認了。

接下來我想嘗試更深刻一些，檢查我是否能將開放重定向串聯上反射型 XSS。Rodolfo Assis 的這篇博客(XSS limited input formats)給了我很大幫助。

以後即是將 URL
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://google.com
修改成
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=javascript:%250Aalert(1)
瀏覽器直接觸發彈窗

而後，我將其報告給 hackerone （與我以前開啓的報告相同）。

翻譯自medium.com

免責申明：本文由互聯網整理翻譯而來,僅供我的學習參考,若有侵權,請聯繫咱們,告知刪除。