又一个登陆框引起的血案

继上次登陆框引起的血案这个文章之后，时隔一个月笔者又写了续集，呃……升华版。
0×00 文章内容结构图

0×01 信息泄露
利用泄露的信息可以大大增加我们的可测试点，从而增加我们的成功率。
1. HTML源代码
必看的肯定要属HTML源代码了，源代码里包含了下面所说的JS文件。HTML源代码会泄露很多信息，像程序员未删除的注释、敏感路径等都可能在HTML源代码中找的到，从来增加发现漏洞的成功率。
2. JS文件
很多JS文件中会泄露其他路径，或者敏感函数等。泄露其他路径可以增加我们可以测试的点，泄露一些敏感函数可以实现未授权访问等恶意操作。
3. 其他敏感文件
还可以利用其他途径获得到的文件，如爆破、爬虫等其他方式得到的敏感文件，可能会发现日志文件、配置文件、网站的其他业务页面等。
0×02 点我链接登陆你的账号
这个问题多出现在第三方登陆功能中
1. 主站账号登陆
2. 微信登陆
3. QQ登陆
4. 微博登陆
5. ….
1. 一个二维码引领风骚
呃，小石师傅是真男神，把我带进了米斯特，从此不知归路..……
子业务选择使用主站账号扫码登陆时：

将二维转换为HTTP请求（https://cli.im/deqr/）
可以发现只有一个TOKEN参数：

使用主站APP 扫码进行登录扫描之后，会弹出确认登录框以确认登录。在点击“登录”按钮的之后，发送如下POST数据包来进行登陆：
POST https://xxx.com/xxxx/confirm HTTP/1.1
….
token=xxxxx&source=passport&fingerprint=一大长串字符
删除finderprint参数，发现对请求无影响=>删除
删除referer参数，发现对请求无影响=>可以CSRF
将请求方法改为GET型，发现失败=>只能构造表单进行CSRF
此时受害者只要是主站登陆状态下，发送了我们构造好的这个表单，那么我这里就可以直接登陆他的账号。
2. 二维码又起风波
使用账号所绑定的微信登陆：

扫描之后发现不需要点击确认就登录了，和常规的微信二维码扫描登录完全不一样，这时候才发现原来这里是使用的微信公众号绑定的账户去登录的,解析的二维码地址为：

条件：
受害者微信公众号绑定了账号；
受害者微信内点击我们的链接，我这里就这可以直接登陆了
0×03 劫持用户身份凭证
1. XSS劫持
子站使用主站账号登陆时，来来回回N个数据包，经过我仔细观察，得出重要结论：
如果主站是登陆状态，那么访问如下链接，主站便会返回身份凭证
经过测试发现：这个client_id参数必须存在，但是没有什么影响，不会影响整个攻击。

然后，我们便可以使用返回的这个链接来登陆受害者这个子站。为了获得响应包里面Locatin的值，我们可以使用该域下面的XSS来获得。
2. JSON劫持
当然，如果发现此处返回的用户凭证如下格式，那么当然首先考虑到的便是json劫持了。

关于json劫持，大家可以移步key师傅博客
http://gh0st.cn/archives/2018-03-22/1
0×04 XSS
1.登陆时XSS

POST类型，尝试修改改为GET类型：

发现成功弹窗，呃，即使不能修改成功，那么还可以组合CSRF一起使用。
2. 登陆成功时XSS

[1] [2] [3]  下一页

继上次登陆框引起的血案这个文章之后，时隔一个月笔者又写了续集，呃……升华版。
0×00 文章内容结构图

0×01 信息泄露
利用泄露的信息可以大大增加我们的可测试点，从而增加我们的成功率。
1. HTML源代码
必看的肯定要属HTML源代码了，源代码里包含了下面所说的JS文件。HTML源代码会泄露很多信息，像程序员未删除的注释、敏感路径等都可能在HTML源代码中找的到，从来增加发现漏洞的成功率。
2. JS文件
很多JS文件中会泄露其他路径，或者敏感函数等。泄露其他路径可以增加我们可以测试的点，泄露一些敏感函数可以实现未授权访问等恶意操作。
3. 其他敏感文件
还可以利用其他途径获得到的文件，如爆破、爬虫等其他方式得到的敏感文件，可能会发现日志文件、配置文件、网站的其他业务页面等。
0×02 点我链接登陆你的账号
这个问题多出现在第三方登陆功能中 内容来自无奈安全网
1. 主站账号登陆
2. 微信登陆
3. QQ登陆
4. 微博登陆
5. ….
1. 一个二维码引领风骚
呃，小石师傅是真男神，把我带进了米斯特，从此不知归路..……
子业务选择使用主站账号扫码登陆时：

将二维转换为HTTP请求（https://cli.im/deqr/）
可以发现只有一个TOKEN参数：

使用主站APP 扫码进行登录扫描之后，会弹出确认登录框以确认登录。在点击“登录”按钮的之后，发送如下POST数据包来进行登陆：
POST https://xxx.com/xxxx/confirm HTTP/1.1
….
token=xxxxx&source=passport&fingerprint=一大长串字符
删除finderprint参数，发现对请求无影响=>删除
删除referer参数，发现对请求无影响=>可以CSRF

将请求方法改为GET型，发现失败=>只能构造表单进行CSRF
此时受害者只要是主站登陆状态下，发送了我们构造好的这个表单，那么我这里就可以直接登陆他的账号。
2. 二维码又起风波
使用账号所绑定的微信登陆：

扫描之后发现不需要点击确认就登录了，和常规的微信二维码扫描登录完全不一样，这时候才发现原来这里是使用的微信公众号绑定的账户去登录的,解析的二维码地址为：

条件：
受害者微信公众号绑定了账号；
受害者微信内点击我们的链接，我这里就这可以直接登陆了
0×03 劫持用户身份凭证
1. XSS劫持
子站使用主站账号登陆时，来来回回N个数据包，经过我仔细观察，得出重要结论： copyright 无奈人生
如果主站是登陆状态，那么访问如下链接，主站便会返回身份凭证
经过测试发现：这个client_id参数必须存在，但是没有什么影响，不会影响整个攻击。

然后，我们便可以使用返回的这个链接来登陆受害者这个子站。为了获得响应包里面Locatin的值，我们可以使用该域下面的XSS来获得。
2. JSON劫持
当然，如果发现此处返回的用户凭证如下格式，那么当然首先考虑到的便是json劫持了。

关于json劫持，大家可以移步key师傅博客
http://gh0st.cn/archives/2018-03-22/1
0×04 XSS

本文来自无奈人生安全网

1.登陆时XSS

POST类型，尝试修改改为GET类型：

发现成功弹窗，呃，即使不能修改成功，那么还可以组合CSRF一起使用。
2. 登陆成功时XSS
copyright 无奈人生

[1] [2] [3]  下一页

。 (责任编辑：admin)