Вот как я нашел уязвимость Reflected XSS на сайте NASA

NASA уязвимость Reflected XSS

Сегодня я расскажу вам о своем опыте участия в программе Bug Bounty, в ходе которой обнаружил уязвимость Reflected XSS на поддомене сайта NASA. Кстати, у нас уже была статья про взлом NASA, очень рекомендую!

Еще по теме: Взлом сайта управления Tesla

Уязвимость Reflected XSS на сайте NASA

Обычно мне нравится искать уязвимости вручную, но я также использую некоторые инструменты для автоматизации повторяющихся процессов, которые не требуют моего полного внимания и позволяют мне больше времени уделять тестированию других параметров.

Итак, я написал простой скрипт для сбора субдоменов NASA, в основном он использует Subfinder, Amass, Findomain, CRT, после сбора поддоменов скрипт удаляет дубликаты и выполняет новую проверку этих найденных поддоменов, то есть собирает поддомены поверх поддоменов.

Если вы новичок, это может показаться странным, но я объясню вам, обычно инструменты Subfinder, Findomain и т.д… используют базу данных поддоменов, привязанных к определенному домену или поддомену, например: google.com, он вернет: test.google.com, test1.google.com, test2.google.com и так далее. Но когда мы используем поддомен для проверки в этих инструментах, он может найти, например, helloworld.test.google.com, более глубокий поддомен, скрытый от простых обычных тестов.

Bug Bounty — это программа, которую владелец сайта (web-приложения) проводит для привлечения сторонних специалистов к поиску уязвимостей. При участии в программе Bug Bounty нужно действовать этично и придерживаться установленных правил. Не забывайте, что несанкционированный взлом сайтов является незаконным и расценивается, как уголовное преступление. Ни редак­ция spy-soft.net, ни автор не несут ответс­твен­ность за ваши незаконные действия.

Итак, после полного сбора поддоменов скрипт проверяет, какие из этих хостов активны, используя httpx, мне особенно нравится httpx, поскольку он позволяет делать некоторые дополнительные проверки, например возвращать заголовок страницы, код состояния, используемые технологии, перенаправляются ли они и куда, и даже тестировать веб-службы на других портах. Эта информация очень полезна, так как она позволяет мне иметь общую базу данных о моей цели и помогает мне сориентироваться, с чего начать атаку. Я рекомендую прочитать их документацию и задать параметры:

Теперь, когда у нас есть активные хосты, я проверяю открытые порты каждого из них, для этого использую Naabu, а также параметр -nmap-cli, чтобы иметь возможность использовать Nmap для получения более подробной информации о запущенном сервисе, такой как версия, использование основных Lua-скриптов и так далее.

Собрав эту информацию, мой скрипт отбирает в файл активные хосты, на которых запущены веб-службы на том порту, на котором он запущен. Итак, я делаю краулинг, используя как пассивную, так и активную информацию, применяя инстументы Gauplus, Waybackurls, Katana, ParamSpider, Linkfinder и сортирую все с помощью отличного инструмента GF. С его помощью я могу сортировать конечные точки по возможным уязвимостям для последующего тестирования.

И наконец, мой скрипт запускает Nuclei, используя обновленные шаблоны, а также некоторые дополнительные шаблоны, чтобы проверить, есть ли в веб-приложении известные уязвимости и зарегистрирован ли уже CVE.

И таким образом с помощью Nuclei удалось найти XSS в поддомене NASA

И конечно, используя инструмент Meg чтобы прогнать по всем поддоменам и IP-адресам NASA, надеясь найти еще одно веб-приложение с такой же уязвимостью, что не принесло результата.

Я сообщил об уязвимости, которая была должным образом обработана командой NASA.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий