官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
hello,师傅们大家好,好久没更新了,我原以为地图api这个前端漏洞已经没啥进展了,基本按之前写的文章已经很全面了,并且在文章发表后也有很多师傅报喜,用这个漏洞不管是日常渗透项目上水洞,还是挖src上都挣到钱了。也有很多师傅疯狂挖这个洞,导致好多src都以“使用的免费api接口为理由”不收了,也是干的猛。这次为啥发新的文章呢,因为这个洞有了新的研究成果,所以发布出来让师傅们小赚一笔,新研究的漏洞方案呢,没有之前那么好挖,之前的直接干fofa、hunter搜就可以了。新的挖掘方法主要偏向于调用高德地图api的微信小程序还有调用GOOGLE地图的web网站。
*该文章仅用于安全技术分享,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责。文章作者不为此承担任何责任。*
最近看了好多前端漏洞相关的东西,也产生不少成果。发现现在cors还有jsonp之类和跨域有关的漏洞,很少师傅去挖,但是能获取到敏感信息的话,大多数src还是收取的。地图这个也属于前端组件的漏洞。如果师傅们能找到其它类似于网站经常调用的像天气、验证码、站长访问统计之类api接口深入研究的话也许会有通杀漏洞大捞一笔。
0X00回顾
1.先梳理一下地图API配置错误漏洞的发现到公开的时间线:
2.src漏洞收入情况:
这个漏洞价值肯定是广大师傅最关心的问题,我这边大致统计了一下,我这边挖了有1w左右,下表是每个漏洞提交到不同平台价钱个数统计,可以看到100块和50块还是比较多的。所以算是低危漏洞。当然也有几个给了高危但是比较少。
不了解之前这个漏洞挖掘方法的白帽师傅可以看看我之前写的这篇文章:https://www.freebuf.com/articles/web/360331.html
3.其它师傅们的挖掘情况简介:
有很多师傅看了我的分享之后挖到了众测或src的相关漏洞,也有师傅催着我新的思路,但是一直没啥新的思路直到最近跟几位师傅探讨,重新翻看api文档时发现了新的思路。
0x01 新的思路简单说明
之前的思路主要是围绕着前端调用了高德、腾讯、百度地图的key,而这个key是需要自己去这三家注册开发者账号申请完之后会获取到key,然后给自己的业务进行使用。在正常网站管理员在默认配置的情况下这样配置是存在问题的,攻击者前端抓包获取到key值,利用官方给的api就可以给自己的业务使用,或者恶意消耗key值导致达到key当日使用上限,影响正常用户使用。后来在大家伙的挖掘下很多网站都按照官方说明配置域名白名单等限制消除了这个问题。并且高德地图jsapi进行了更新现在除了需要key值以外,增加了jscode验证。百度和腾讯地图目前还没变化,所以大家按照以前的方法对使用百度和腾讯地图的api的业务可以照常挖掘。这次重心主要在之前没有研究出来的google api调用payload和新的高德js api利用的挖掘上。那我们如何在高德地图存在jscode的情况下进行挖掘呢。