主页 > 网络知识 > 从负载均衡或CDN应用中发现的配置类漏洞(2)

从负载均衡或CDN应用中发现的配置类漏洞(2)

由于服务后端存在某个对象实体的浅拷贝(Shallow Copy),当对象实体引用了其他用户数据时就会发生暂时的缓存,当该对象实体返回后,存在该漏洞问题的页面将会在其中渲染加载****实例信息。

之后验证发现,这种情况在目标服务端每小时都会发生一次的事,非常难以定位复现,但在我多了个心眼的情况下,好在帮助客户发现了这个问题。

漏洞4:用户授权Authorization Header头信息泄露漏洞

同样的,在测试某个目标API应用时,当我在检查HTTP响应中我自己的注册用户名时,我发现它竟然包含在了其中一个JS脚本中,该脚本中还包含了我对访问该API的授权Authorization Header头信息,这是不是一个跨站脚本包含(XSSI)漏洞呢?

之后,我发现即使把我账户相关的会话Cookie删除之后,发起该请求,一样还会返回我的用户名和授权Authorization Header头信息:

 

从负载均衡或CDN应用中发现的配置类漏洞

 

我根本想不到会如此,所以我又接着进行了以下测试:

1、如果更改其中的loc参数,JS脚本响应的消息就会会包括上述用户相关泄露信息;

2、如果以第二个用户身份访问目标API应用,JS脚本中响应的就会是该用户相关的个人信息;

3、同样,在第二个用户会话环境下,即使删除所有会话Cookie,JS脚本返回的信息依然是第二个用户的个人信息。

现在来看,由于这是一个JS脚本文件,它由目标API服务的前端CDN执行了缓存,其中包含了loc参数上。有两种利用方式,一是即使loc参数无效,那么目标API服务端将会返回响应用户的授权头信息,利用这个点可以构造钓鱼链接,以无效的loc为参数,发送给受害者,诱惑其点击,那么就会把其授权Authorization Header头信息缓存在JS脚本中。

 

从负载均衡或CDN应用中发现的配置类漏洞

 

另一种为有效的loc参数环境下,可以通过loc参数样式构造字典,对API服务端进行枚举请求,那么,将会获取到一些有效loc参数相关的注册用户个人信息。

该漏洞上报后只收获了$300的奖金,原因在于厂商认为用户授权头信息不怎么敏感,但我认为漏洞还是被低估了。但不管怎么说,总比三年前发现这种漏洞时要好得多。

总结

漏洞众测是个特别的行业,除了XSS、CSRF、SQLi等其它通用漏洞的分析外,尝试进行上述逻辑错误配置漏洞的测试,说不定会发现一些独特的攻击面。有些测试起初看似没有意义,但仔细深入就会发现更多隐藏的线索。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!