一个5000刀的XSS

背景介绍

今天分享国外一个白帽小哥Crypto通过发现Apple某网站XSS而获得5000美元赏金的故事。废话不多说,让我们开始吧~

狩猎过程

易受攻击的 Apple 服务网站是:https://discussions.apple.com,该服务是苹果用户和开发者讨论问题的社区,如果你在这里注册,可以为自己创建个人资料并帮助他人或从他们那里获得帮助。

来看一个简单的配置文件示例:

这是一个简单的个人资料,如上图所示,你可以根据需要编辑"位置"和"个人简介"部分。那么如果在修改时加入XSS Payload的话会怎样呢?

使用的Payload如下:

"><svg/onload=alert(1)>

将上面的Payload放入个人资料的"location"部分,然后...

一个超级简单且容易利用的存储型 XSS 漏洞!通过这种方式可以轻松窃取用户和Apple员工的Cookie。于是白帽小哥立即通过电子邮件联系了 Apple SRC,经过3个月漫长等待,终于收到了一封Apple的回复邮件,如愿以偿获得了赏金奖励!

又是羡慕国外赏金的一天...咳咳~你学废了么?

相关推荐
不爱学英文的码字机器2 小时前
零信任架构:重塑网络安全的IT新范式
安全·web安全·架构
Freedom风间4 小时前
前端优秀编码技巧
前端·javascript·代码规范
萌萌哒草头将军4 小时前
🚀🚀🚀 Openapi:全栈开发神器,0代码写后端!
前端·javascript·next.js
萌萌哒草头将军4 小时前
🚀🚀🚀 Prisma 爱之初体验:一款非常棒的 ORM 工具库
前端·javascript·orm
拉不动的猪5 小时前
SDK与API简单对比
前端·javascript·面试
runnerdancer5 小时前
微信小程序蓝牙通信开发之分包传输通信协议开发
前端
山海上的风5 小时前
Vue里面elementUi-aside 和el-main不垂直排列
前端·vue.js·elementui
电商api接口开发5 小时前
ASP.NET MVC 入门指南二
前端·c#·html·mvc
刘婉晴5 小时前
【信息安全工程师备考笔记】第三章 密码学基本理论
笔记·安全·密码学
亭台烟雨中5 小时前
【前端记事】关于electron的入门使用
前端·javascript·electron