BugBountyHunter’da çok çeşitli üyelerden oluşan bir grup olduğundan ve her birinin kendi uzmanlığı ve yeteneği olduğundan, 0xkaratavuk, iBruteForce, JTCSec Ve Astar vurmak Uygulamaları manuel olarak araştırıyorduk, örneğin KutsalBugx, xnl-h4ck3r Ve flag_c0 daha fazla alt alan keşfetmek için araçlar çalıştırıyorduk. Geçerli bir XSS bulduktan ve sohbette bunu kutladıktan sonra diğer çeşitli araştırmacılar, aslında açık olduğunu keşfettiğimiz 4 uç noktadan bahsettiler. sürü Apple alt alan adları. Bu sadece example.apple.com değildi; 30’dan fazla alt alanı da etkiledi. Güzel! Ekip çalışması ❤
(Bahsedilecek çok şey var, neden epik bilgisayar korsanlarımızı kendiniz kontrol etmiyorsunuz – https://www.bugbountyhunter.com/ourhackers)
Peki bu XSS ile ne yapabiliriz?
Apple sadece alarm(0) için ödeme yapmaz değil mi? Bu yüzden Apple’dakileri etkilemek için bir şeyler yapmamız gerekiyor. Her zaman bahsettiğim Hedefleri belirlemek bu yüzden üyelere bunun XSS kullanma ve sızdırılacak bir şey bulma (jeton/oturum bilgisi-> hesap devralma, pii bilgisi) ve oradan çalışma durumu olduğunu söyledim, bu nedenle ilk başta odak noktası CORS’ta bir ‘yanlış yapılandırma’ bulmaya odaklandı. Apple’ın önemsediği bir saldırgan için yararlı şeyler içeren bir Apple uç noktası. Örneğin PII bilgileri. (Uç: genellikle bilgilerinizi sorgularken bir istek gönderilir ve JSON formatında bir yanıt görürsünüz. testin kökeni: bunlarda.. hepsini gördük!)
Bunun yanı sıra, çeşitli uygulamalara/hizmetlere giriş yaparken ilginç jetonları kontrol etmeyi ve ileride kullanmamız için bunları not etmeyi de belirttim.
Araştırma yaparken, Origin: ayarlandığında birçok Apple uç noktasının yanıt vereceğini ancak aslında çoğunun belirli Apple alt alan adlarına kilitlendiğini fark ettik. Bu iyi bir yaklaşım, bu yüzden Apple’a teşekkür ediyorum. Hepsi bu kadar güvenli değildi ve bazıları yarı rahattı (tek bir alt alan adı yerine birden fazla .apple.com alt alan adına izin verir). Metodolojimde bahsettiğim şeylerden biri (bu arada ücretsiz – https://www.bugbountyhunter.com/zseano), avlanırken hedefinizi öğrenmektir. Bazı Apple uç noktalarının Origin’e yanıt vermesi ve bazılarının diğerlerinden daha rahat olması bana şunu söyledi: BİR YERDE, bir yerlerde Apple’da aradığımız altın muhbir olacak. Origin’de beyaz listeye alınan herhangi bir .apple.com alanı:
Kalıcılık karşılığını verir. Sonraki ipucu: Çok erken pes etmeyin. İnsanlardan hiçbir şey bulamadıklarını söyleyen bazı DM’ler alıyorum ve ben de “peki ne zamandır onu hackliyorsun?” diye soruyorum. ‘2 gün’ diye cevap veriyorlar. 3-6 ay boyunca tek bir hedef belirleyin, ardından bana DM gönderin! 😉
Kişisel olarak iPhone’umda çok sayıda Apple uygulaması açtım ve diğer üyeler birçok web uygulamasını kontrol etmeye gitti. Biraz zaman aldı ama sonunda PII bilgilerini içeren ve ayrıca XSS’yi bulduğumuz her alanı etkileyen Origin başlığında *.apple.com’a izin veren uç noktalar bulduk. Alt alan adlarımızın tümü Origin: başlığında beyaz listeye eklendiğinden (*.apple.com’a izin verildi) buradan itibaren bir istek göndermek ve PII bilgilerini almak için basit bir PoC oluşturmak basit bir durumdu. Göstermek için uyarıyı kullanırız ancak bunu saldırganın etki alanına göndermek zor olmaz. (https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest/Using_XMLHttpRequest)
Artık elimizdeydi 4 ayrı XSS (benzersiz uç noktalar!) birden fazla Apple hizmetine ilişkin PII bilgilerini almak için kullanılabilecek birden fazla etki alanı genelinde. POC’miz, sitemizi (totallynotevil.com) ziyaret etmek dışında herhangi bir kullanıcı etkileşimi gerektirmedi ve .apple.com’daki XSS yürütülecekti. (FORM gönderimini otomatik hale getirebileceğimiz gibi değil mi?). Şahsen ben bu bulgunun Apple’ın ilgileneceği bir şey olduğunu hissettim çünkü PII bilgilerini sızdırabileceğimizi keşfettiğimiz alt alan adlarından çok sayıda kullanıcı etkilenmişti. Raporumuzu gönderdik ve birkaç ay bekledik, ancak bulgumuzun yeterince yeni olmadığı ve utanç verici bir ödül olmadığı söyleninceye kadar, ama olan bu. XSS’nin tamamının 90 günden fazla süredir düzeltildiği doğrulandı ve Origin: başlığı artık keşfedilen uç noktalarda kilitlendi ve yalnızca belirli alt alanlara izin verildi. İyi iş!
Ancak aslında, bu blog yazısını incelenmek üzere onlara gönderdikten sonra yeniden karar vereceklerini söylediler (kelimenin tam anlamıyla blogun yayınlanmasının uygun olup olmadığını sordum, bu yüzden bu gerçekten harika bir davranış!). güncellenecek!
Uç: “Zararlı” Erişim-İzin Ver-Kontrol-Köken ile PII bilgilerinin sızdırıldığını bildirdiğimde: hata ödül programının yalnızca XSS’yi düzelttiğini ve PII bilgilerini sızdırmak için daha fazla XSS kullanabileceğinizi gördüm. Bu aslında seçtiğiniz programdaki olaylar hakkında bir “his” edinmenize yardımcı olan bir şeydir. Sorunları nasıl çözüyorlar? Örneğin poc (uyarı vs hesap ele geçirme) ne olursa olsun XSS’ye 500 $’lık sabit bir ücretle aynı şekilde mi davranıyorlar yoksa proaktif davranıyorlar ve daha fazla düşünüyorlar mı“Bu account.json’un gerçekten *.domain.com’a izin vermesi gerekiyor mu? Bu dev-test.example.com alan adının muhtemelen erişime ihtiyacı yoktur…”.