漏洞挖掘365天挑战——Day079：漏洞报告学习之Finding XSS on .apple.com and building a proof of concept to leak your PII information

链接：https://zseano.medium.com/finding-xss-on-apple-com-and-building-a-proof-of-concept-to-leak-your-pii-information-d7bc93cff2df

作者看了那个hacking-apple之后，觉得他也可以。他复现了里面的一些bug，然后呢，发现了一个文件： https://apps.apple.com/bag.xml 

这个文件里面包括了一些header和参数，他收集了这些查询的端点。

然后把这些端点用curl请求看看结果，查看google和github，wayback，看看这些是否有额外的信息。

然后一个成员发现了一个XSS

然后就要想，用这个XSS能干什么，怎么扩大影响。

先找到一个PPI的信息端点，然后构建一个Poc请求PPI信息

弹出来了个人的一些信息。

他们找到了4个独立的XSS，而且POC不需要任何用户交互，只需要访问网站就行了。

“漏洞挖掘365天挑战——Day079：漏洞报告学习之Finding XSS on .apple.com and building a proof of concept to leak your PII information”的一个响应

[…] Day079：漏洞报告学习之Finding XSS on .apple.com and building a proof of concept to leak your… […]

请在此输入您的评论... ...

Fill in your details below or click an icon to log in:

电子邮箱地址（必填） (Address never made public)

显示名称（必填）

网站地址

您正在使用您的 WordPress.com 账号评论。 ( 注销 / 更改 )

您正在使用您的 Facebook 账号评论。 ( 注销 / 更改 )

Connecting to %s

Pxiaoer's Blog