某里巴巴存在任意URL跳转漏洞（提交被驳回故公开）技术交流

某天看到一篇文章，pdf支持JavaScript脚本灵光一闪，如果把xss代码加到pdf文件中会怎么样
经过测试，构造了一些可行的poc文档，眼看双十一快到了，顺便测试下某里巴巴

经测试：某里巴巴SRC上传图片处可以pdf文件



获取到pdf文件链接
https://security.alibaba.com/api/commons/download/TB1HuUWXyzxK1RjSspjXXcS.pXa.tfsprivate
里面有我的poc代码，在谷歌浏览器或者谷歌内核的浏览器下打开，就会跳转到第三方网站（下个迅捷pdf编辑器，poc自己找）

ASRC任意URL跳转有了

尝试XSS，在某宝论坛，发帖，源码模式下插入poc

POC:发帖，预览，成功触发任意URL跳转
地址：https://maijia.bbs.taobao.com/detail.html?postId=8969034
纯文本模式给钉钉邮箱，阿里企业邮箱发送包含POC的内容，用户在谷歌内核浏览器下打开就会触发URL跳转

如果跳转的网站是个钓鱼网站，那岂不是危害很大，或者说，淘宝论坛流量那么大，劫持一篇热帖岂不是可以做广告？

赶紧提交给ASRC，经过漫长的等待，得到消息，厂商已驳回

截图下沟通记录




原本还打算30天后在公开的，发现后面提交的相关漏洞都被忽略了，很明显ASRC平台不认为这是漏洞，不打算修复，既然如此，公开姿势给大家吧

修复方案：
而作为网站管理员或开发者，可以选择强迫浏览器下载 PDF 文件，而不是提供在线浏览等，或修改 Web 服务器配置的 header 和相关属性。

统一回复下，该问题已经提交到谷歌安全中心。另外，我为什么要追着阿里修复，不是为了那几块钱的赏金，而是为了广大的阿里用户，我不希望某天我身边的朋友或者不认识的朋友被钓鱼，被骗的倾家荡产！人生失去希望，（以前身边有过一位这朋友，支付宝被盗...然后...吃了一个月馒头？）谷歌什么时候修复是谷歌的事情，迭代下去搞到明年修复，大后年修复都是有可能的，况且版本这么多，不更新版本的人更多。

阿里修改下配置文件就能避免被钓鱼，说这么多有点肉麻了，还是那句话，希望各大厂商能为自己用户的安全负责。想想自己为什么要提交漏洞，不忘初心，方得始终。

发布下最新情况，ASRC以及确认了漏洞，状态修复中，有朋友反映淘宝论坛的漏洞已经修复，如果大家又发现利用该漏洞钓鱼的，请及时提交情报到ASRC应急响应中心！阿里将会有相应的奖励！