漏洞挖掘365天挑战——Day079:漏洞报告学习之Finding XSS on .apple.com and building a proof of concept to leak your PII information

链接:https://zseano.medium.com/finding-xss-on-apple-com-and-building-a-proof-of-concept-to-leak-your-pii-information-d7bc93cff2df

作者看了那个hacking-apple之后,觉得他也可以。 他复现了里面的一些bug,然后呢,发现了一个文件: https://apps.apple.com/bag.xml 

这个文件里面包括了一些header和参数, 他收集了这些查询的端点。

然后把这些端点用curl请求看看结果,查看google和github,wayback,看看这些是否有额外的信息。

然后一个成员发现了一个XSS

然后就要想,用这个XSS能干什么,怎么扩大影响。

先找到一个PPI的信息端点,然后构建一个Poc请求PPI信息

弹出来了个人的一些信息。

他们找到了4个独立的XSS,而且POC不需要任何用户交互,只需要访问网站就行了。

漏洞挖掘365天挑战——Day079:漏洞报告学习之Finding XSS on .apple.com and building a proof of concept to leak your PII information”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s