我是如何找一个影响数千职业网站的持续型XSS的

17-07-10 来源：[db:作者]

收藏我要投稿

我们 Detectify Crowdsource 平台的安全研究员ak1t4最近在他的个人博客中向我们解释了，关于他是如何发现并报告了Teamtailor上一个影响数千职业网站的持续型XSS漏洞的过程，其中也包括了我们Detectify的职业网站。在提交报告一天后，Teamtailor便修补了该漏洞。在此我代表Crowdsource感谢ak1t4和 Teamtailor 的积极响应！

注：这里ak1t4并没有利用持久型XSS访问我们的 Detectify 主站或者用户数据！

关于Detectify Crowdsource研究员

我叫ak1t4，来自阿根廷。我的专业是网络工程，但直到漏洞赏金计划进入我的生活之前，我从未直接与安全工作有过接触。而如今，我已经成功侵入过Google，Uber，Twitter等知名公司。自2006年12月以来，我便一直是 Detectify Crowdsource 的成员之一。

现在，让我们一起回顾下此次漏洞挖掘的精彩过程。

信息收集：

这几天让我感到有些无聊，不经意间我又把目光集中在了我的计算机上。当前我正在浏览detectify.com这个网站，突然一股冲动在我脑海中闪现，没错我决定将detectify.com作为我的测试目标。首先我要对目标站点的子域做个扫描，我习惯性的打开了sublister.py脚本，得到的结果如下：

其中一个域名引起了我的注意；“career.detectify.com”，一个指向 – > detectify.teamtailor.com 的子域。

什么是Teamtailor？

Teamtailor是一个可以为你一站式解决招聘需求的职业网站。你可以在这里找到适合与你的职业，或者在这里招聘你所需要的职业人才。

这的确是一个非常好的平台，为此我在Teamtailor.com上也创建了一个帐户，并填写了相关的简历信息。在使用我的帐户和个人资料查看几个小时后，我发现了一个引起我注意的功能 – “share”配置文件功能，其中包含一个这样的URI： https://xxxx.teamtailor.com/shares/LZHstXPRuGA0xXb2FOmRzA/151251-ak1t4-haxor

（在这个URI上，我们可以看到包含了域，路径和哈希字符串，这是用户的页面内容，例如：求职简历。）

我开始研究一些跨域问题，并试图进行利用。经过几次测试，我发现Teamtailor并没有验证域拥有者的共享配置文件。我决定利用这个缺陷，将自己的内容配置文件（哈希）直接注入到 career.detectify.com

域中，并且最终我成功的将内容注入到了域中！这意味着现在我可以将自定义的内容，注入到现有所有的职业网站上。

现在，让我们来执行一些javascript脚本

我在配置文件中写入了一些javascript脚本，用于测试目标域是否正常弹框。在这里我对Linkedin URL做了测试，填充的有效载荷内容如下：

“javascript：alert(document.domain);// http://someurl.com

点击LinkedIn链接后Javascript将被执行，而程序并不会验证该链接是否是一个合法的http(s)的LinkedIn请求。

可以看到我们的JS脚本，在Detectify的职业网站上被成功执行！