虚拟现实论坛中的XSS三个缺陷之一被链式落后的支付
扣押控制后,安全研究员赢得了30,000美元的Bud Bounty支付Facebook通过利用三人安全漏洞的obulus账户。
Oculus虚拟现实耳机的所有者可以通过Facebook登录他们的Oculus帐户,该Facebook在2014年获取虚拟现实(VR)先驱。(其最新型号,Oculus任务2,只能通过Facebook使用,促使德国的反托拉斯看门狗促使德国的反托拉斯看门狗启动探索)。
结合另外两个缺陷,a跨站脚本(XS.)Oculus社区论坛域中发现的漏洞可以使恶意攻击者窃取Oculus访问令牌并妥协对应的用户账户,突尼斯安全研究员youssef sammouda.发现。
“这是可能的,因为[the] forums.oculyvr.com域使用beplay体育能用吗在一个博客文章记录他的发现。
这个“会将他重定向到https://forums.oculusvr.com/entry/oculus与oculusAccess_Token.可以访问graph.oculus.com/graphql并使允许他接管帐户的GraphQL突变/查询。“
在iframe中
Sammouda发现,如果嵌入https://forums.oculusvr.com/plugins/oculus/js/oculus-outh.js并启用调试模式,则不安全使用document.write.在URL的片段(#state = payload)中添加状态参数内容。
他用'州'服务了有效载荷,因为虽然document.location.被传递给了document.write.,它是有效载荷的URL编码格式。尽管如此,“状态”是以解码的格式。
似乎是一个“易XSS”,否则以来var logintype = this.frameElement.ID前面document.write.- 返回'typeerror:无法读取null的属性'id''。
这可以通过向Https://forums.oculusvr.com/entry/forumulue#state=payload添加到https://forums.oculusvr.com/entry/oculus#state=payload并将其转发到受害者的最终链接来实现这一点。
有关的Facebook为链接的基于DOM的XSS支付25,000美元的错误赏金
研究人员通过Vanilla论坛实现了这一点,由Oculus论坛托管的第三方应用程序允许来自某些允许列出的网站的嵌入内容。beplay体育能用吗
其中一个站点包含漏洞(现在修补),允许Sammouda将有效载荷从嵌入的vanilla论坛页重定向到https://forums.oculusvr.com/entry/oculus。
帐户收购最初是推移的,因为更改引脚或密码,或添加联系点,所需的用户PIN所必需的知识,而OCULUE论坛域无法阅读链接的Facebook帐户Access_Token.(一项技术归功于同胞的安全研究员josipfranjković)。
幸运的是,Sammouda揭开了第三个错误,允许他“升级Access_Token.到另一个应用程序的上下文“并绕过Oculus论坛的”有限权限“。
第三方应用程序可以阅读链接的FacebookAccess_Token.,铺平了围绕Facebook帐户的方式,并通过端点https://graph.oculy.com/fbauth,Oculus帐户。
Sammouda告诉每日SWbeplay2018官网IG.that while chaining the bugs amplified the exploit’s severity, the XSS was only moderately difficult to unearth “since I already knew where to look for bugs (in code and endpoints added by Facebook to Vanilla Forums), and “the third one was easy to find since the vulnerable endpoint was mainly used for a similar purpose”.
就在范围内
Sammouda在11月24日提醒Facebook到缺陷,社交媒体巨头于12月1日修复了他们。
虽然Forubs.oculy.com域名在Facebook的范围内脱离了BUG赏金计划研究人员表示,由于它托管第三方应用程序,社交媒体公司在此场合发出了一个例外,因为XSS“在Facebook添加的身份验证流程中发现了”。
他的奖金膨胀了30,000美元的支付超过了他在2020年10月20日在Facebook的基于DOM的XSS之后的25,000美元,如前所述每日SWIG报告beplay2018官网。
