黑产godlike攻击: 邮箱 XSS 窃取 appleID 的案例分析 – 路人甲

Posted 楚梦笔谈

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了黑产godlike攻击: 邮箱 XSS 窃取 appleID 的案例分析 – 路人甲相关的知识,希望对你有一定的参考价值。

昨天讲了XSS漏洞,今天以乌云上XSS漏洞攻击为例,做一个分析。

(最近)黑产利用腾讯邮箱的漏洞组合,开始频繁的针对腾讯用户实施攻击。

其利用的页面都起名为godlike.html,所以我们把这起攻击事件命名为godlike。

主要被利用的漏洞有3个, 一个 URL 跳转, 一个 CSRF, 另外一个就是 XSS

早上的时候被同学叫起来看一个链接


第一眼看到这个以为是张图片, 欺骗性很高, 不过因为当时嫌麻烦没有点进去

后来在电脑上发现是一个链接而不是图片才感到有问题, 这里的锅主要是腾讯的一个 URL 跳转了.

0x01 URL 跳转恶意构造指向 title

这里的这个 URL 跳转很猥琐

http://jump.qt.qq.com/php/jump/check_url/?url=http://www.qmaild.xyz

可以看到被指向的 url 是 www.qmaild.xyz。

而这个 www.qmaild.xyz 把 title 设置成了这样

所以在手机里会有产生极为类似 img 文件的效果, 如果加上类似 『这个妹子好正』,之类的相信上钩的几率会更加高, 附一张手机 QQ 发送正常图片的截图

0x02 CSRF 自动请求 XSS 页面

跳转到 www.qmaild.xyz 这个 URL 之后直接 iframe 了 godlike.html ( 我猜是个玩 lol 的放纵 boy, 具体代码可以看下面

没什么好说的, 巴拉巴拉就到了下面

0x03 XSS

由 form 表单跳转到的企业邮箱页面如下, 加载了 qzoneon.com 这个 URL 下的一段 js


哎呀, 页面变成这样了, 好糟糕, 看下html代码, 有奇怪的 script 进来了, 这段加载的 js 就是偷取 cookie 发送到攻击者的服务器上。

恩, 果不其然, orz, 如果不是同学提前跟我说估计我也上钩了, 以后民那桑打开 QQ 里的东西还是小心点为好 = =



这里可以看出,XSS结合钓鱼页面进行窃取邮件cookie更敏感信息还是非常有效的,有些安全站点会对XSS进行奖励。


奖励

危急 介质

主要范围(邮件,云,日历,商务等 - 请参阅范围说明)

$ 15,000个 $ 1,000个 $ 500强 $ 150

* .lootdog.io

$ 6000名 $ 500强 $ 250 $ 100

* .delivery-club.ru

$ 6000名 $ 150 - -

另一个Mail.Ru项目(子域名委托给外部实体除外)

$ 2,000个 - - -

My.Com - 另一个项目

$ 2,000个 - - -

Mail.Ru收购的另一个项目/域名

$ 1,000个 - - -

委托子域名或品牌合作伙伴服务

$ 500强 - - -

Sendbox(mailer.i.bizml.ru)

$ 3000名 - - -

主要范围内的项目

Mail.Ru门户页面(不包含子域),身份验证服务,邮件,云,日历,商务(域管理功能),健康,MyMail。请参阅下面的详细范围说明


远程代码执行(RCE):$ 15000

本地文件访问和操作(LFR,RFI,XXE):$ 10000

注入(SQLi或等效):10000美元

内存泄漏敏感数据:$ 1000- $ 5000

电子邮件上的跨站点脚本(XSS)通过消息内容阅读:1000美元

跨站点脚本(XSS):500美元(自我XSS除外)

跨站点请求伪造(СSRF,Flash跨域请求):150-500美元

SDC技术绕过关键项目:1500美元

SDC 在这里解释,具有关键数据的SDC感知域接受报告(e | m | tel | touch | light | cloud | calendar | biz | ideas).mail.ru。SDC绕过直接或不正确(通过SDC-anaware域)访问这些项目的内部API,没有有效的sdc / sdcs cookie,无法访问auth.mail.ru ssdc cookie或有效用户的凭据。SDC是基于Web的,不考虑通过例如移动应用程序的攻击。


Lootdog.io


远程代码执行(RCE):$ 6000

本地文件访问和操作(LFR,RFI,XXE):$ 4000

注入(SQLi或等效):$ 4000

跨站点脚本(XSS):$ 500(自我XSS除外)

跨站请求伪造(СSRF,Flash跨域请求):150-500美元


Delivery-Club.ru


关键服务器端漏洞:$ 6000

客户端漏洞(XSS,CSRF)被接受而没有奖励


Sendbox(mailer.i.bizml.ru)


关键服务器端漏洞:$ 3000

客户端漏洞(XSS,CSRF)被接受,无奖励

不接受自我XSS。


接受超出范围的关键漏洞


对于Mail.ru或my.com子域中的Mail.Ru自己的项目和

远程代码执行(RCE):$ 1000- $ 4000

关键服务器端漏洞:$ 500- $ 2500

客户端漏洞(XSS,CSRF)和产品特定业务逻辑错误被接受而没有奖励


对于Mail.Ru在不同子域中拥有或获取的项目

远程代码执行(RCE):$ 500- $ 2000

关键服务器端漏洞:$ 250- $ 1000

Clientside漏洞(XSS,CSRF)和产品特定业务逻辑错误被接受而没有奖励


对于委派的子域名或品牌合作伙伴服务(没有自己的bug赏金)

远程代码执行(RCE):$ 500- $ 1000

关键服务器端漏洞:$ 250- $ 500

客户端漏洞(XSS,CSRF)和产品特定业务逻辑错误被接受而没有奖励


以上所有金额均为近似值。实际奖励可能取决于问题的严重程度,新颖性,利用概率,环境和其他因素,并根据个人情况给予奖励。


政策

可接受的语言:

以上是关于黑产godlike攻击: 邮箱 XSS 窃取 appleID 的案例分析 – 路人甲的主要内容,如果未能解决你的问题,请参考以下文章

XSS攻击之窃取Cookie

pikachu练习平台(XSS-漏洞测试案例(cookie的窃取和利用钓鱼攻击XSS获取键盘记录))

02-xss固定会话攻击

攻击者可利用印象笔记中的XSS漏洞执行命令并窃取文件

xss攻击的危害都有哪些?

网站安全与攻击