目前已漏洞已修復(fù)汇跨，該打碼的我也打碼了，公開應(yīng)該沒事吧渺鹦，不要找我扰法。

0x01 flash跨域策略文件配置不當

主站的crossdomain.xml配置不當蛹含，允許了所有域*毅厚。攻擊者可以發(fā)送請求，讀取服務(wù)器返回的信息浦箱。這意味著攻擊者可以獲得已登錄用戶可以訪問的任意信息吸耿，甚至獲得anti-csrf token咽安。

<?xml version="1.0"?>
<cross-domain-policy>
  <allow-access-from domain="*" />
</cross-domain-policy>

其他子域名

image.png

0x02文件上傳沒有對內(nèi)容進行效檢

嘗試上傳一段包含惡意代碼的圖片到服務(wù)端妆棒，上傳到糕珊，后臺并沒有對上傳的圖片內(nèi)容進行有效過濾毅糟。導致上傳后的圖片仍然還存在惡意代碼姆另，后續(xù)可以配合flash進行利用攻擊。

image.png

0x03攻擊條件

比如：A 是 Hack蝶防，A發(fā)送一個鏈接給 B 用戶间学， B 用戶一旦點擊菱鸥，就會泄露,B 用戶的身份信息躏鱼，
手機號，地址鹊漠，登錄 IP，甚至能獲取用戶 Cookle 等等隱私信息登钥，惡意的flash會把獲取到的數(shù)據(jù)牧牢，利用的crossdomain.xml配置不當造成的同源策略自動回傳 A Hack姿锭，A 就得到了B用戶的數(shù)據(jù)。

image.png

0x04漏洞危害

利用此漏洞可獲取某奇藝用戶的 “轮纫， 某奇藝賬號訂單掌唾、商城訂單號糯彬， 收貨手機號贝乎，收貨地址览效，甚至能獲取用戶 Cookle 信息”，等等隱私信息挽拔。

0x05漏洞利用過程

1但校、在 https://open.*.com/developer/register/info/view 上傳一個惡意 Flash 文件状囱，后綴修改成
jpg 的格式∠眨可以正常上傳猾编。順便找到上傳后的文件返回地址，因為待會要用到這個文件答倡。

image.png

http://pan.*.com//external//7EZhb5Kp1DiHzO5Y9uXTFReky4WYE--0dgXLKV1LLtMbfGrpOWIN
CWRKrokfacw9c94__GRm3Gs03nwbShqD6B4kriwriFtb51H9_nBA5ayLwepjK11zj_ON2p1xYZBN-4
dRZxgPasBEjneyU3_ovK-AgpGD_T0uED5r_i0YsnaZWIUSduUvhFwF24iZQRwce7zWbZcFyhEImv3O
BH1ywrP8mN9c112xhdjaLFJwZzg.jpg

可以看到文件是上傳到 pan.*.com 這個域名下的获茬，根據(jù)主站設(shè)置的同源策略设江， 這里存在跨域問題并可以利用攘轩。

2度帮、下面開始構(gòu)造攻擊鏈接，比如這次我構(gòu)造獲取某奇藝商城用戶的 購物車情況：
已知： 正常已登錄某奇藝的用戶直接訪問：https://mall.*.com/shoppingcart.html 就可以
看到自己賬號的添加過的購物車商品信息瞳秽，數(shù)量练俐，與金額等冕臭。
構(gòu)造如下一個 html 文件，發(fā)送給用戶悯蝉，或者上傳到自己的 VPS 云上鼻由，以鏈接形式發(fā)送給用
戶厚棵。誘導用戶點擊。其中相關(guān)參數(shù)與說明狠轻。

image.png

已登錄某奇藝的用戶哈误，只要點擊 ”鏈接/html” 文件后，就會成功的把用戶的購物車狀況信
息發(fā)送了黑客菩貌。
調(diào)試模式可以發(fā)現(xiàn)箭阶。當用戶點開的鏈接時戈鲁，可以看到瀏覽器自動請求了某奇藝購物車頁面。

image.png

然后惡意flash文件又對請求到響應(yīng)數(shù)據(jù)進行 Base64 加密诈乒，自動回傳了到另一臺不知明的服務(wù)器怕磨。其實就
是把用戶的響應(yīng)頁面偷偷的傳給了黑客肠鲫。

image.png

把拿到的回傳數(shù)據(jù)進行 Base64 解密成 Html导饲。

image.png

解密后渣锦，覆蓋到瀏覽中浓体，即可看到用戶的購買車頁面。

image.png

0x06修復(fù)建議

• 對上傳的文件進行內(nèi)容檢測娄猫，大小限制媳溺。
• allow-access-from 標簽的 domain 屬性檢測：domain 屬性應(yīng)根據(jù)最小化原則按需設(shè)置悬蔽，僅允許可信任的來源跨域請求本域內(nèi)容捉兴。禁止將該屬性值設(shè)置為“*”录语。
• allow-http-request-headers-from 標簽的 domain 屬性檢測：domain 屬性應(yīng)根據(jù)最小化原則按需設(shè)置澎埠，僅允許可信任的來源向本域跨域發(fā)送內(nèi)容始藕。禁止將該屬性值設(shè)置為“*”伍派。

• site-control 標簽的 permitted-cross-domain-policies 屬性檢測：根據(jù)業(yè)務(wù)的實際需求及可行性，對該屬性做相應(yīng)設(shè)置祥国。禁止將該屬性值設(shè)置為“all”倍踪。

  
  
  image.png