重定向与反射型XSS串联

在一个星期日的早晨，醒来后我像往常同样拿起手机并登陆个人Facebook账户，在滚动新闻提要时，我遇到了这个 showmax 的 facebook广告 （showmax 是一个在线电影网站，就像 NetFlix 同样）。

而后我点击广告并访问该网站。根据个人原则，每当我访问新网站时，我要作的第一件事就是经过搜索 " hackerone <site name>" 或 "<this site name> bug bounty" 等关键字来检查该网站是否正在运营 Bug Bounty 项目。我在这里使用了相同的方法，发现 showmax 正在 hackerone 上运营 Bug Bounty 项目。

最有趣的部分是，showmax约有6个月没有任何漏洞报告，这是发现 bug 的好机会。
我启动了 BurpSuite 并再次访问该站点，而后浏览该站点，打开出如今屏幕上的任何连接。

单击"试用 14 天"后，将我带到注册页面，而后将我重定向到付款页面。坦率地说，我没有万事达卡或 Visa 卡（我曾用姐姐的朋友的），可是此次他们不在那儿，没有给卡。

而后，我在 BurpSuite 中单击以检查 Burp 的 “历史记录”，滚动后，我从 " secure.showmax.com" 中看到了 Burp History 之一的请求正文中的内容，以下所示：
{payment_url:"https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://payu.co.za......."}

"这是开放重定向！"，而后我尝试修改重定向的 URL 修改成 google.com，这也生效了。那么该是时候了为他们写一个简单的报告给 hackerone 处理了。

几小时后他们就确认了。

接下来我想尝试更深刻一些，检查我是否能将开放重定向串联上反射型 XSS。Rodolfo Assis 的这篇博客(XSS limited input formats)给了我很大帮助。

以后即是将 URL
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=https://google.com
修改成
https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/three_d_secure?redirection_url=javascript:%250Aalert(1)
浏览器直接触发弹窗

而后，我将其报告给 hackerone （与我以前开启的报告相同）。

翻译自medium.com

免责申明：本文由互联网整理翻译而来,仅供我的学习参考,若有侵权,请联系咱们,告知删除。