通过监控js获得18000奖金
2023-11-17 15:10:12 Author: 黑白之道(查看原文) 阅读量:10 收藏

1

起因

翻看文章时看到bebiks师傅公开了一份漏洞报告,危害和奖金都挺高的。

就想看看怎么玩,之前没搞过js监控这里就了解一下,顺便找了找找有什么工具可以用。

2

漏洞正文

通过js监控发现,出现了一个新的 Google Docs 链接:

https://docs.google.com/forms/d/1cwHTgNBd51ECJ3w-5Hy6LgioJWhJ2qFF_vdlmXb6zao/edit#responses

此 google docs 链接已在位于以下位置的 JS 文件中泄露:

https://xxxxxx.com/assets/static/js/5930.078b8e86.chunk.js

允许攻击者编辑任何内容并查看有关用户的一些敏感数据,例如电子邮件/调查回复。

3

工具推荐

推荐监控工具:

https://github.com/ahussam/url-tracker

可检查不同时间段(每小时、每天、每周、每月)的网页内容,并检测自上次检查以来是否修改了网页内容。它可用于监控 S3、Azure、JS 文件......等。

4

工具案例


这里工具的作者也给出了一个案例,在某次使用打车app的时候,存在莫名其妙的收费。于是进行投诉,客服给发了一个邮件,发现图片挂掉了。

就分析了一下,发现图片存储的Bucket不存在了(也就是过期被回收了)。

NoSuchBucket

在这里就可以通过重新申请,接管Bucket

就是这次的漏洞出现,工具作者就写出了这款工具,用于长期监控。

文章来源:None安全团队

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650582257&idx=3&sn=1f061fd3cf3e23244d4d5966e9ce27a3&chksm=83bdc915b4ca4003e2e58568dfcc43f06185bb179880416df6669ffc197240418b8571ec7f25&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh