某里巴巴存在任意URL跳转漏洞(提交被驳回故公开)技术交流
某天看到一篇文章,pdf支持JavaScript脚本灵光一闪,如果把xss代码加到pdf文件中会怎么样
经过测试,构造了一些可行的poc文档,眼看双十一快到了,顺便测试下某里巴巴
经测试:某里巴巴SRC上传图片处可以pdf文件
获取到pdf文件链接
https://security.alibaba.com/api/commons/download/TB1HuUWXyzxK1RjSspjXXcS.pXa.tfsprivate
里面有我的poc代码,在谷歌浏览器或者谷歌内核的浏览器下打开,就会跳转到第三方网站(下个迅捷pdf编辑器,poc自己找)

尝试XSS,在某宝论坛,发帖,源码模式下插入poc
POC:
<embed src="https://security.alibaba.com/api/commons/download/TB1HuUWXyzxK1RjSspjXXcS.pXa.tfsprivate">
地址:https://maijia.bbs.taobao.com/detail.html?postId=8969034
纯文本模式给钉钉邮箱,阿里企业邮箱发送包含POC的内容,用户在谷歌内核浏览器下打开就会触发URL跳转
如果跳转的网站是个钓鱼网站,那岂不是危害很大,或者说,淘宝论坛流量那么大,劫持一篇热帖岂不是可以做广告?
赶紧提交给ASRC,经过漫长的等待,得到消息,厂商已驳回

截图下沟通记录
原本还打算30天后在公开的,发现后面提交的相关漏洞都被忽略了,很明显ASRC平台不认为这是漏洞,不打算修复,既然如此,公开姿势给大家吧
修复方案:
而作为网站管理员或开发者,可以选择强迫浏览器下载 PDF 文件,而不是提供在线浏览等,或修改 Web 服务器配置的 header 和相关属性。
统一回复下,该问题已经提交到谷歌安全中心。另外,我为什么要追着阿里修复,不是为了那几块钱的赏金,而是为了广大的阿里用户,我不希望某天我身边的朋友或者不认识的朋友被钓鱼,被骗的倾家荡产!人生失去希望,(以前身边有过一位这朋友,支付宝被盗...然后...吃了一个月馒头?)谷歌什么时候修复是谷歌的事情,迭代下去搞到明年修复,大后年修复都是有可能的,况且版本这么多,不更新版本的人更多。
阿里修改下配置文件就能避免被钓鱼,说这么多有点肉麻了,还是那句话,希望各大厂商能为自己用户的安全负责。想想自己为什么要提交漏洞,不忘初心,方得始终。
发布下最新情况,ASRC以及确认了漏洞,状态修复中,有朋友反映淘宝论坛的漏洞已经修复,如果大家又发现利用该漏洞钓鱼的,请及时提交情报到ASRC应急响应中心!阿里将会有相应的奖励!
评论145次
发布下最新情况,ASRC以及确认了漏洞,状态修复中,xi望早日修复,如果大家又发现利用该漏洞钓鱼的,请及时提交情报到ASRC应急响应中心!阿里将会有相应的奖励!麻烦管理员提升下回复到前排,谢谢。
不管是不是阿里 这些大公司都一样谁开发的代码谁负责 谁改的代码谁负责应急响应慢1秒扣1000员工是不会在乎公司以及客户利益的漏洞挖过份进监狱 漏洞挖小当没看见 如果当作是兴趣不是工作的话 最好别发出来众人皆知 在中国和公司对抗很不明智存在即合理,这种类型的漏洞公司自查才能合理修补提交是没用的要么就滚雪球打组合拳,不然不会得到重视的要么学会保护自己要么一刀致命不留后患,证明自己不是靠别人的眼光决定自己创造的价值
厂商也不知道在想啥最后还不是我们用户遭殃
厂商意思是, 牛逼你就干进来
楼主讲解下原理啊
楼主还活着嘛?我觉得虽然他们不认为这个是漏洞,你这样公开,估计是作死
确实应该归属于使用chrome内核的浏览器问题,不过阿里src这种做法也是不够负责任的,总归要从用户的安全角度出发
楼主是被气炸了,太坑了,最怕黑产攻击啊
感觉src管理员应该重视的
复现下: https://security.alibaba.com/api/commons/download/TB1cYofXU_rK1Rjy0FcXXbEvVXa.tfsprivate
为什么出了struts2、weblogic各种代码执行漏洞自己就修复了,而不是驳回大家提的漏洞让去提交给厂商。哈哈 说起来还是因为他们没有中招。所以啊。。。心疼楼主。
学xi了,但是对于跳转的TB1HuUWXyzxK1RjSspjXXcS.pXa.tfsprivate想知道是怎么构造的
这个链接实际就是PDF文件的URL链接
对,关键是跳转的pdf文件是怎么构造的,这个pdf是题主传上去,抓的返回包
跳转的url是我博客,你翻一下历史文章,里面有我的构造poc的方法
学xi了,但是对于跳转的TB1HuUWXyzxK1RjSspjXXcS.pXa.tfsprivate想知道是怎么构造的
这个是抓包返回的路径吧,不是构造的
返回包的连接是提交的,左边可以看到是构造的pdf
学xi了,但是对于跳转的TB1HuUWXyzxK1RjSspjXXcS.pXa.tfsprivate想知道是怎么构造的
这个链接实际就是PDF文件的URL链接
对,关键是跳转的pdf文件是怎么构造的,这个pdf是题主传上去,抓的返回包
确实是浏览器的问题,最终应该由谷歌来修复 但是src有必要采取措施缓解这个问题,直接甩锅太不负责任
公布了,很好奇ASRC会不会修复,可以持续关注一下。
我觉得要提交给谷哥
学xi了,但是对于跳转的TB1HuUWXyzxK1RjSspjXXcS.pXa.tfsprivate想知道是怎么构造的
这个是抓包返回的路径吧,不是构造的
学xi了,但是对于跳转的TB1HuUWXyzxK1RjSspjXXcS.pXa.tfsprivate想知道是怎么构造的
这个链接实际就是PDF文件的URL链接
学xi了,但是对于跳转的TB1HuUWXyzxK1RjSspjXXcS.pXa.tfsprivate想知道是怎么构造的
修复了??我擦,吃饭时间跟进下动态,发现手机浏览器提示下载。
扫噶,手机浏览器看帖好费劲
为什么不直接把cookie插出来呢 同源策略吗
修复了??我擦,吃饭时间跟进下动态,发现手机浏览器提示下载。
手机浏览器不影响
修复了??我擦,吃饭时间跟进下动态,发现手机浏览器提示下载。
@第五轻柔 hackerone ?